Скачать ZIP архив | Скачать RAR архив
Спецификации механизмов безопасного развертывания сервисов DNS приводится в следующих документах:
- спецификации DNSSEC (IETF RFC: 4033, 4034, 4035, 3833)
- спецификации TSIG (Transaction Signature, IETF RFC: 2845, 3007)
Сервисы DNS mail-сервер веб-сервер
Инфраструктура DNS Только 1 root домен. 13 корневых DNS серверов. TLDs — код страны — домен верхнего уровня
Компоненты DNS и понятие безопасности для них
DNS включает сущности:
- платформа (ПК, ОС) на которой выполняется name-сервер и resolver
- ПО name-сервера и resolver
- транзакции DNS
- репозиторий DNS (зонные файлы)
- конфиг.файлы для name-сервера и resolver
Гарантирование аутентичности информации и поддержка целостности информации при передаче являются важными для обеспечения корректного функционирвоания Интернета, для которого DNS обеспечивает сервис разрешения имен. Следовательно целостность и аутентификация источника являются основными сервисами безопасности DNS.
Основные механизмы безопасности для сервисов DNS
DNSSEC
Администрирование DNS с учетом требований безопасности:
- выбор алгоритмов и размеров ключей (TSIG и DNSSEC)
- управлением ключем (создание, хранение, использование)
- опубликование открытого ключа и определение доверенных корневых ключей
- восстановление ключа (плановое, аварийное)
Зонный файл Name-серверы Resolver Транзакции DNS Запрос-ответ DNS
Запросы DNS посылаются в открытом виде, но при этом хотелось чтобы полученный ответ являлся корректным и прешел от аутентичного источника. Как результат, для активного атакующего существует возможность перехватить (и изменить) или сфабриковать ответы обратно к клиенту.
Зонная пересылка Имеет непосредсвенное отношение к безопасности систем указанных в DNS потому что при зонной пересылке раскрывается больше количество информации, чем при обычном DNS-запросе, а так же потому что при этом возрастает количество ресурсов, требуемых для сообщения.
Динамические обновления. ВОзможность динамического изменения определяет операции добавления и удаления ресурсных записей в зонном файле.
Зоны DNS которые допускают динамическое изменениЕ, открыты для дополнительных атак. Далее будет приведен полный список потенциальных атак и возможное решение для ограничения возможности выполнить эти атаки.
DNS NOTITY сообщения DNS NOTITY указывают, что вторичному DNS-серверу следует начать зонную пересылку. т.к. запускается зонная пересылка, ложные сообщения DNS NOTITY могут привести к ненужным зонным пересылкам и следовательно потенциальным DoS атакам
Безопасность окружения DNS платформа хоста, по DNS…
Угрозы и обеспечение защиты платформы хоста
Угроза Т1: переполнение буфера по ОС или другого софта Т2: флудинг большим количеством ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера Т3: инсайдер может из лок.сегмента вызвать ARP(спуфинг), — нарушив работу DNS Т4: конфиг (resolv.conf, host.conf, named.conf, root.hint) может быть испорчен вирусами или червями на уровне платформы. обеспечение защиты хоста состоит в: использовании безопасной ОС, безопасном конфигурировании и развертывании ОС
Угрозы ПО DNS
Т5: ПО DNS (name resolve сервера) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки DoS, получении доступа.
- обновление всего софта
- выполнение процессов named и resolve с ограниченными привелегиями
- изолирование ПО named-сервера
- установка выделенного экземпляра name-сервера для каждой функции
- удаление ПО name-сервера с непредназначенных для этого машин
- развертывание отдельных name-серверов для различных классов клиентов
Угрозы данных DNS
Т6: неправилньное делегирование. при некорректном изменении FQDN или ip дочернего сервера. родитель не знает. в такой ситуации дочерняя зона становится недостижимой (DoS атака)
Т7: дрейф зоны и DoS атака: если refresh или min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зоанные пересылки слишком часто. Результат: сильная загрузка как первичного так и вторичного name-серверов.
Т8: информация для атак на определенные цели: ресурстные записи вроде info или txt предоставляют информацию о ПО сервера. Даёт хакерам пищу для размышлений, о атаке на увзвимости в ПО DNS.