today keys : fqdn, domain, sni, 도메인, 보안, 방화벽, policy
방화벽에서 정책 적용 시에 FQDN의 도메인 기반으로 정책 적용 시에,
DNS 스티어링을 사용하는 서비스 들의 경우,
도메인을 질의하는 Client(혹은 서버)와 방화벽의 도메인 질의 결과에 대한 값이 달라지는 경우가 있을 수 있습니다.
다음과 같이 질의를 순차적으로 몇 초이내로 질의를 해도 응답 받는 Pool 값이 달라지는 경우가 있습니다.
특히 이러한 경우에 TTL도 짧게 가져가는 경우가 많기 때문에
동일한 Resolver 서버를 같이 바라보고 있어도 결과 값에 차이가 나는 시점이 자주 발생할 수 있습니다.
실제 api.push.apple.com을 값을 갖고 있는 api-vs.push-apple.com.akadns.net의 경우,
authoritative dns를 dig 명령을 통해서 확인해 보면, a1-128.akadns.net 인 것을 볼 수 있고,
a1-128.akadns.net로 해당 도메인을 질의해서 보면, 30초로 TTL 자체가 매우 짧은 것을 볼 수 있습니다.
만약 reslover dns가 이중화 되어 있거나, 서로 다른 resolver dns가 적용되어 있다면
결과 값 Pool(IP Pool)의 변경은 더 자주 발생할 수 밖에 없습니다.
따라서, 이러한 경우에는 FQDN이 아닌 TLS SNI 값을 이용한 정책을 적용해야 안정적으로 정책을 관리 할 수 있습니다.
TLS SNI에 대한 관련 내용은 아래의 기존 포스팅을 추가로 보셔도 좋습니다.
TLS SNI(HTTP SNI) 테스트 환경 구성 및 동작 방식의 이해
Today Keys : tls, sni, https, encrypt, certbot, aws, 인증서, ssl, server, name, indication 이번 포스팅에서 TLS SNI 테스트 환경을 구성하고 테스트하면서 TLS SNI에 대한 동작 방식 이해를 해보는 포스팅입니다. 먼저
zigispace.net