Скачать ZIP архив | Скачать RAR архив

Спецификации механизмов безопасного развертывания сервисов DNS приводится в следующих документах:
— спецификации DNSSEC (IETF RFC: 4033, 4034, 4035, 3833)
— спецификации TSIG (Transaction Signature, IETF RFC: 2845, 3007)

Сервисы DNS
mail-сервер
веб-сервер

Инфраструктура DNS
Только 1 root домен. 13 корневых DNS серверов.
TLDs — код страны — домен верхнего уровня

Компоненты DNS и понятие безопасности для них

DNS включает сущности:
— платформа (ПК, ОС) на которой выполняется name-сервер и resolver
— ПО name-сервера и resolver
— транзакции DNS
— репозиторий DNS (зонные файлы)
— конфиг.файлы для name-сервера и resolver

Гарантирование аутентичности информации и поддержка целостности информации при передаче являются важными для обеспечения корректного функционирвоания Интернета, для которого DNS обеспечивает сервис разрешения имен. Следовательно целостность и аутентификация источника являются основными сервисами безопасности DNS.

Основные механизмы безопасности для сервисов DNS

DNSSEC

Администрирование DNS с учетом требований безопасности:
— выбор алгоритмов и размеров ключей (TSIG и DNSSEC)
— управлением ключем (создание, хранение, использование)
— опубликование открытого ключа и определение доверенных корневых ключей
— восстановление ключа (плановое, аварийное)

Зонный файл
Name-серверы
Resolver
Транзакции DNS
Запрос-ответ DNS

Запросы DNS посылаются в открытом виде, но при этом хотелось чтобы полученный ответ являлся корректным и прешел от аутентичного источника. Как результат, для активного атакующего существует возможность перехватить (и изменить) или сфабриковать ответы обратно к клиенту.

Зонная пересылка
Имеет непосредсвенное отношение к безопасности систем указанных в DNS потому что при зонной пересылке раскрывается больше количество информации, чем при обычном DNS-запросе, а так же потому что при этом возрастает количество ресурсов, требуемых для сообщения.

Динамические обновления. ВОзможность динамического изменения определяет операции добавления и удаления ресурсных записей в зонном файле.

Зоны DNS которые допускают динамическое изменениЕ, открыты для дополнительных атак. Далее будет приведен полный список потенциальных атак и возможное решение для ограничения возможности выполнить эти атаки.

DNS NOTITY
сообщения DNS NOTITY указывают, что вторичному DNS-серверу следует начать зонную пересылку. т.к. запускается зонная пересылка, ложные сообщения DNS NOTITY могут привести к ненужным зонным пересылкам и следовательно потенциальным DoS атакам

Безопасность окружения DNS
платформа хоста, по DNS…

Угрозы и обеспечение защиты платформы хоста

Угроза Т1: переполнение буфера по ОС или другого софта
Т2: флудинг большим количеством ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера
Т3: инсайдер может из лок.сегмента вызвать ARP(спуфинг), — нарушив работу DNS
Т4: конфиг (resolv.conf, host.conf, named.conf, root.hint) может быть испорчен вирусами или червями на уровне платформы. обеспечение защиты хоста состоит в:
использовании безопасной ОС, безопасном конфигурировании и развертывании ОС

Угрозы ПО DNS

Т5: ПО DNS (name resolve сервера) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки DoS, получении доступа.
— обновление всего софта
— выполнение процессов named и resolve с ограниченными привелегиями
— изолирование ПО named-сервера
— установка выделенного экземпляра name-сервера для каждой функции
— удаление ПО name-сервера с непредназначенных для этого машин
— развертывание отдельных name-серверов для различных классов клиентов

Угрозы данных DNS

Т6: неправилньное делегирование. при некорректном изменении FQDN или ip дочернего сервера. родитель не знает. в такой ситуации дочерняя зона становится недостижимой (DoS атака)

Т7: дрейф зоны и DoS атака: если refresh или min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зоанные пересылки слишком часто. Результат: сильная загрузка как первичного так и вторичного name-серверов.

Т8: информация для атак на определенные цели: ресурстные записи вроде info или txt предоставляют информацию о ПО сервера. Даёт хакерам пищу для размышлений, о атаке на увзвимости в ПО DNS.