Скачать ZIP архив | Скачать RAR архив
Спецификации механизмов безопасного развертывания сервисов DNS приводится в следующих документах:
— спецификации DNSSEC (IETF RFC: 4033, 4034, 4035, 3833)
— спецификации TSIG (Transaction Signature, IETF RFC: 2845, 3007)
Сервисы DNS
mail-сервер
веб-сервер
Инфраструктура DNS
Только 1 root домен. 13 корневых DNS серверов.
TLDs — код страны — домен верхнего уровня
Компоненты DNS и понятие безопасности для них
DNS включает сущности:
— платформа (ПК, ОС) на которой выполняется name-сервер и resolver
— ПО name-сервера и resolver
— транзакции DNS
— репозиторий DNS (зонные файлы)
— конфиг.файлы для name-сервера и resolver
Гарантирование аутентичности информации и поддержка целостности информации при передаче являются важными для обеспечения корректного функционирвоания Интернета, для которого DNS обеспечивает сервис разрешения имен. Следовательно целостность и аутентификация источника являются основными сервисами безопасности DNS.
Основные механизмы безопасности для сервисов DNS
DNSSEC
Администрирование DNS с учетом требований безопасности:
— выбор алгоритмов и размеров ключей (TSIG и DNSSEC)
— управлением ключем (создание, хранение, использование)
— опубликование открытого ключа и определение доверенных корневых ключей
— восстановление ключа (плановое, аварийное)
Зонный файл
Name-серверы
Resolver
Транзакции DNS
Запрос-ответ DNS
Запросы DNS посылаются в открытом виде, но при этом хотелось чтобы полученный ответ являлся корректным и прешел от аутентичного источника. Как результат, для активного атакующего существует возможность перехватить (и изменить) или сфабриковать ответы обратно к клиенту.
Зонная пересылка
Имеет непосредсвенное отношение к безопасности систем указанных в DNS потому что при зонной пересылке раскрывается больше количество информации, чем при обычном DNS-запросе, а так же потому что при этом возрастает количество ресурсов, требуемых для сообщения.
Динамические обновления. ВОзможность динамического изменения определяет операции добавления и удаления ресурсных записей в зонном файле.
Зоны DNS которые допускают динамическое изменениЕ, открыты для дополнительных атак. Далее будет приведен полный список потенциальных атак и возможное решение для ограничения возможности выполнить эти атаки.
DNS NOTITY
сообщения DNS NOTITY указывают, что вторичному DNS-серверу следует начать зонную пересылку. т.к. запускается зонная пересылка, ложные сообщения DNS NOTITY могут привести к ненужным зонным пересылкам и следовательно потенциальным DoS атакам
Безопасность окружения DNS
платформа хоста, по DNS…
Угрозы и обеспечение защиты платформы хоста
Угроза Т1: переполнение буфера по ОС или другого софта
Т2: флудинг большим количеством ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера
Т3: инсайдер может из лок.сегмента вызвать ARP(спуфинг), — нарушив работу DNS
Т4: конфиг (resolv.conf, host.conf, named.conf, root.hint) может быть испорчен вирусами или червями на уровне платформы. обеспечение защиты хоста состоит в:
использовании безопасной ОС, безопасном конфигурировании и развертывании ОС
Угрозы ПО DNS
Т5: ПО DNS (name resolve сервера) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки DoS, получении доступа.
— обновление всего софта
— выполнение процессов named и resolve с ограниченными привелегиями
— изолирование ПО named-сервера
— установка выделенного экземпляра name-сервера для каждой функции
— удаление ПО name-сервера с непредназначенных для этого машин
— развертывание отдельных name-серверов для различных классов клиентов
Угрозы данных DNS
Т6: неправилньное делегирование. при некорректном изменении FQDN или ip дочернего сервера. родитель не знает. в такой ситуации дочерняя зона становится недостижимой (DoS атака)
Т7: дрейф зоны и DoS атака: если refresh или min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зоанные пересылки слишком часто. Результат: сильная загрузка как первичного так и вторичного name-серверов.
Т8: информация для атак на определенные цели: ресурстные записи вроде info или txt предоставляют информацию о ПО сервера. Даёт хакерам пищу для размышлений, о атаке на увзвимости в ПО DNS.