CloudFlare로 DNS에 보안을 더하는 방법

내가 아래 포스트에 아무리 CloudFlare 라 해도 허점으로 인한 진짜 IP 뽀려내기 글을 올렸었다.

그렇다면 네트워크 관리자는 이 안전하다는 CloudFlare DNS에 진짜 보안을 더할 것인가? 고민이 많지만 이미 cloudFlare 에서도 언급한 내용이다.

하지만 되새김질 하라는 의미이기도 하고 모르거나 관심없었던 관리자도 얼렁 관심을 가져서 서버 보안에 도움이 되라고 쓴다.

내친구도 저거 쓰니까.

1. direct.domain.com 등의 쉽게 다이렉트로 연결되는 도메인을 차단하라.

CloudFlare 는 도메인 세팅할 때 direct 라는 서브도메인을 기본으로 세팅한다. 이걸 통해 진짜로 들어갔을 때에 대한 경우를 비교하라고. 아시다시피 CloudFlare 의 웹 캐싱은 당신이 리소스를 바꾼다 해도 적용하는 시간이 클라이언트마다 틀리다. 최적화를 해주는 대신 업데이트 주기가 길다는 소리. 그래서 주어진 것이지만, CloudFlare 는 Development mode 라는 기능이 제공되기 때문에 그딴거 필요없다. 그 이유는 아래에 설명한다.

2. Development mode 는 테스트시에만 잠깐 이용하라.

Development mode 는 개발시 자주 있는 리소스 변경 사항을 바로 적용할 수 있도록 캐싱 기능을 잠시 꺼두는 기능이다. 기본적으로 3시간이 주어지며, 연장 가능하거나 해제할 수 있다. 하지만 이 기능은 오픈 전 테스트에서만 사용하는 것을 권장하고, 별도의 도메인을 만들어 별도의 테스트를 진행할 것을 권장한다.

3. MX 레코드는 공개된다. 가능하면 공개형 메일 서비스를 이용하라.

메일 프로토콜은 DNS 검색 툴로도 금방 뽀록난다. 왜냐면 메일은 정방향과 역방향 둘 다 쓰기 때문에, 도메인과 IP 둘다 뽀록난다. 그러므로 MX 레코드는 가능하면 구글 등의 메일 서비스를 이용하는 것을 추천한다. 요즘 메일 서비스는 자체 메일 서버보다 훨 나을 것이다. 자체 메일 서버를 사용할 거면 내부적으로만 사용할 것을 추천한다. 메일 서버도 해킹 놀이터의 대상이기 때문이다.

4. 불필요한 직접 바인딩을 자제하라.

CloudFlare 로 보안성과 성능이 향상된 웹 사이트를 쓰면서 직접 바인딩으로 서비스 할 거면 CloudFlare 뭐하러 쓰는가?

5. CloudFlare 서비스가 불필요한 (웹 서비스 외) 도메인은 CloudFlare 가 아닌 다른 DNS 서비스를 이용하라.

웹 서비스가 아니라면 CloudFlare 안 쓰는게 낫다. CloudFlare 는 웹 서비스를 위한 DNS 관리를 제공하는 그 이상 그 이하도 아니다. 다양한 DNS 레코드 종류 등록을 지원하지 않기 때문에, 만약 다른 통신 서비스를 사용해야 한다면 DNS도 바꾸는 것을 추천한다.

끝.

composite / 2014년 5월 19일 / 미분류

답글 남기기

Your email address will not be published / Required fields are marked *