DNS 트래픽이 암호화된 경우 Wildcard FQDN 사용 방법

DNS 트래픽이 암호화된 DoT(DNS over TLS)를 사용하는 경우 Wildcard FQDN의 IP를 획득하는 방법에 대한 설명이다.

FortiOS는 방화벽 policy, Static route, SD-WAN rule 등에 Wildcard  FQDN Object를 사용할 수 있다. Wildcard  FQDN Object의 IP는 FortiGate를 통과하는 DNS query에 대한 응답으로 학습된다. 하지만 DNS 트래픽이 암호화된 경우 FortiGate가  IP를 확인 할 수 없게된다. 

 

 DoT(DNS over TLS) 트래픽에 대해 아래와 같이 SSL Deep Inspection을 사용할 경우, DNS 트래픽을 해독하여 Wildcard FQDN의 IP를 획득 할 수 있다.

 

SSL Deep Inspection을 사용했기 때문에 신뢰할 수 있는 CA인증서를 사용하거나, FortiOS의 인증서를 사용하는 경우 Client PC에 '신뢰할 수 있는 루트인증기관" 으로 등록해야 한다.