하드웨어 공급업체를 위한 DNSSEC

레지스트라, ISP 및 일반 사용자들은 점점 더 DNSSEC 구현 환경을 지원하고 그와 호환되는 네트워크 장비 및 기타 장치들을 필요로 하고 있습니다.

이러한 수요를 모두 감안할 때, 이러한 수요를 충족시키기 위해 신속하게 대처하는 하드웨어 공급업체의 경우 엄청난 시장 기회를 포착할 수 있습니다. 또한 이는 생산 제품이 DNSSEC 호환성을 갖지 못할 경우 해당 제조업체가 직면할 수 있는 잠재적 비즈니스 리스크 또한 크다는 의미로도 해석할 수 있습니다. 더 넓은 관점에서 볼 때, 이러한 리스크와 기회는 DNSSEC의 광범위한 성공적인 도입 및 채택에 있어 하드웨어 공급업체들이 맡고 있는 역할이 얼마나 중요한지를 잘 보여준다 하겠습니다.

DNSSEC는 DNS를 지원하는 네트워크 장비에 있어 여러 가지 호환성 문제를 야기시킬 수 있습니다. 이러한 문제에 대처하기 위한 전략 계획 수립, 개발 및 제조 주기는 짧게는 몇 개월, 길게는 몇 년까지도 걸릴 수 있습니다. 하드웨어 공급업체들은 고객의 보안 요구사항을 충족시키기 위해 제품의 계획, 개발, 테스트 및 수정 작업을 해야 합니다.

지금 당장 행동을 개시함으로써 하드웨어 공급업체들은 인터넷 보안 분야 리더십 및 혁신 측면의 입지를 더욱 다지고, 경쟁사와 차별화하며, DNSSEC 지원 장치 시장에서 조기에 입지를 구축할 수 있습니다.

하드웨어 공급업체가 누릴 수 있는 이점

전세계적인 DNSSEC 성공을 지원하기 위해 신속히 행동함으로써, 다음을 달성할 수 있습니다.

• DNSSEC와 호환되는 업그레이드와 신제품을 출시할 수 있습니다.
• 브랜드와 명성을 쌓을 수 있습니다.
• 고객의 신뢰와 충성도를 유지할 수 있습니다.
• 보안을 중요시하는 고객을 확보하고 유지할 수 있습니다.
• 고객의 인터넷 보안을 개선할 수 있습니다.
• 인터넷에서 신뢰도를 높여 귀하의 핵심 비즈니스를 보호할 수 있습니다.
• DNSSEC의 미래를 좌우하는 리더십과 영향력을 발휘할 수 있습니다.

DNSSEC로 인해 전체 인터넷 환경에 복잡한 변경사항이 발생합니다. 인터넷 사용자들이 인터넷 보안 강화의 혜택을 보도록 하려면, 방화벽, 라우터 및 기타 네트워크 장치 등 인터넷 인프라 제품을 만드는 제조업체들이 DNSSEC를 지원하는 장비를 만들어야 합니다. 이러한 제품의 적절한 운영은 엔터프라이즈, ISP, 개인 사용자, 기타 고객을 비롯하여 인터넷에 연결된 대부분의 사람들에게 영향을 미칩니다.

DNSSEC는 OSI(Open Systems Interconnection) 프로토콜 스택의 레벨 3부터 7 사이의 인터넷 트래픽을 살펴보는 모든 장치에 영향을 미칩니다. 호환성 문제는 하드웨어 자체에서 발생하거나 사용자의 하드웨어 구성 방식에 따라 발생할 수 있습니다. 연구 결과에 따르면, 대부분의 SOHO(small office/home office) 라우터(스텁 리졸버 앞에 위치한)들의 경우 DNSSEC 구현 환경에서 제대로 작동하는 것으로 보입니다. 엔터프라이즈급 방화벽(RNS 앞에 위치한)의 경우가 가장 만만치 않은 문제입니다.

Verisign은 귀사가 귀사의 제품 및 솔루션에서 호환성 문제를 식별하실 수 있도록 돕는 데 최선을 다하고 있습니다. 아래 표를 보면, DNSSEC 호환성과 관련한 몇몇 중요한 문제에 대한 권장 대처 방법이 나와 있습니다.

문제: DNSSEC 구현 패킷은 기존 DNS 패킷보다 크기가 더 크다(> 512 바이트).
설명: 기존의 DNS 메시지를 UDP(User Datagram Protocol)가 운반을 했고, 원래 DNS 표준은 DNS 패킷 크기를 512 바이트로 제한했습니다. DNSSEC 패킷에는 공개 키와 디지털 서명이 포함될 수 있습니다. 그 결과, DNSSEC 패킷은 기존의 최대 패킷 크기인 512 바이트 보다 더 커지는 경우가 많습니다. 많은 레거시 장치와 현행 네트워크 장치 중 일부는 크기가 큰 DNSSEC 패킷을 지원하지 않을 수도 있습니다.	권장 방법: DNSSEC 패킷 처리와 관련한 장치별 제한에 대해 알아 두십시오.
문제: DNSSEC(실행) 결과 더 많은 TCP 트래픽이 생성된다.
설명: MTU(maximum transmission unit: 최대 전송 단위) 크기 제한 때문에 UDP는 DNSSEC 패킷의 크기를 항상 수용하지는 못합니다. 그 결과, 쿼리와 응답이 TCP를 사용하게 되는 경우가 있는데, 이렇게 되면 트래픽이 늘어나고 네트워크 장치에 가해지는 부담이 늘어나게 됩니다. 또한, 일부 장치의 경우 TCP로 DNS 패킷을 전달하도록 구성되어 있지 않거나 장치가 아예 TCP 상에서 DNS를 지원하지 않을 수도 있습니다.	권장 방법: 귀사의 장비가 TCP를 지원하고, TCP를 지원하게 구성되도록 하십시오.
문제: DNSSEC(실행)를 위해서는 EDNS0이 지원되어야 한다.
설명: EDNS(extension mechanisms for DNS)는 1999년에 처음 발표된 DNS 확장판입니다. DNSSEC 트래픽은 추가 신호 전송에 이러한 확장판을 이용하고 UDP에서 512 바이트가 넘는 크기의 DNS 패킷을 지원합니다. 일부 네트워크 장치의 경우 EDNS0이 있는 DNS 패킷을 처리하지 못할 수 있습니다.	권장 방법: 귀사의 장치가 반드시 EDNS0이 있는 DNS 패킷을 지원하도록 하십시오.

Verisign은 장치의 DNSSEC 호환성과 관련해 도움을 드리고자 합니다. 다음 단계를 통해 시작해 보십시오.

평가 및 계획

• 귀사의 기존 제품들을 모두 검토해 보고 DNSSEC 관련 제한 사항이 있는지, 출하 시 기본 설정은 어떤지 살펴 보십시오.
• 귀하의 제품 개발 전략에 DNSSEC가 적합한지 파악합니다.
• DNSSEC를 지원하는 제품, 업그레이드, 신기능을 개발하기 위한 로드맵을 구상합니다.

테스트

귀사의 네트워크 장치들이 DNSSEC 활동과 호환되는지 여부를 테스트해 보십시오.

연구 및 교육

• 고객들이 DNSSEC를 구현했을 때 경험하게 될 이점과 문제점을 파악합니다.
• 고객들에게 귀사 제품의 DNSSEC 호환성에 대해 어떻게 알릴지에 대한 전략을 수립합니다.
• 귀하의 IT 및 고객 지원 인력들이 DNSSEC 관련 문제를 처리할 수 있는 교육을 받습니다.
• 산업 컨소시엄, 표준 기관, 기타 소프트웨어 및 하드웨어 공급업체와의 협력을 통해 귀하의 필요사항을 충족시키는 솔루션과 접근 방식을 개발합니다.