DNS 트래픽이 암호화된 DoT(DNS over TLS)를 사용하는 경우 Wildcard FQDN의 IP를 획득하는 방법에 대한 설명이다.
FortiOS는 방화벽 policy, Static route, SD-WAN rule 등에 Wildcard FQDN Object를 사용할 수 있다. Wildcard FQDN Object의 IP는 FortiGate를 통과하는 DNS query에 대한 응답으로 학습된다. 하지만 DNS 트래픽이 암호화된 경우 FortiGate가 IP를 확인 할 수 없게된다.
DoT(DNS over TLS) 트래픽에 대해 아래와 같이 SSL Deep Inspection을 사용할 경우, DNS 트래픽을 해독하여 Wildcard FQDN의 IP를 획득 할 수 있다.
SSL Deep Inspection을 사용했기 때문에 신뢰할 수 있는 CA인증서를 사용하거나, FortiOS의 인증서를 사용하는 경우 Client PC에 '신뢰할 수 있는 루트인증기관" 으로 등록해야 한다.
'FortiGate > Firewall' 카테고리의 다른 글
| SSL/SSH profile에서 QUIC 트래픽 제어 방법 (0) | 2025.04.09 |
|---|---|
| 차단되었지만 차단 log가 남지 않는 경우 (0) | 2025.03.18 |
| Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우 (0) | 2025.03.13 |
| 차단된 트래픽에 대해 TCP RST 보내는 방법 (0) | 2025.03.10 |
| NAT port를 선택하는 기준 (0) | 2025.03.10 |
댓글