Скачать ZIP архив | Скачать RAR архив

Спецификации механизмов безопасного развертывания сервисов DNS приводится в следующих документах:

  • спецификации DNSSEC (IETF RFC: 4033, 4034, 4035, 3833)
  • спецификации TSIG (Transaction Signature, IETF RFC: 2845, 3007)

Сервисы DNS mail-сервер веб-сервер

Инфраструктура DNS Только 1 root домен. 13 корневых DNS серверов. TLDs — код страны — домен верхнего уровня

Компоненты DNS и понятие безопасности для них

DNS включает сущности:

  • платформа (ПК, ОС) на которой выполняется name-сервер и resolver
  • ПО name-сервера и resolver
  • транзакции DNS
  • репозиторий DNS (зонные файлы)
  • конфиг.файлы для name-сервера и resolver

Гарантирование аутентичности информации и поддержка целостности информации при передаче являются важными для обеспечения корректного функционирвоания Интернета, для которого DNS обеспечивает сервис разрешения имен. Следовательно целостность и аутентификация источника являются основными сервисами безопасности DNS.

Основные механизмы безопасности для сервисов DNS

DNSSEC

Администрирование DNS с учетом требований безопасности:

  • выбор алгоритмов и размеров ключей (TSIG и DNSSEC)
  • управлением ключем (создание, хранение, использование)
  • опубликование открытого ключа и определение доверенных корневых ключей
  • восстановление ключа (плановое, аварийное)

Зонный файл Name-серверы Resolver Транзакции DNS Запрос-ответ DNS

Запросы DNS посылаются в открытом виде, но при этом хотелось чтобы полученный ответ являлся корректным и прешел от аутентичного источника. Как результат, для активного атакующего существует возможность перехватить (и изменить) или сфабриковать ответы обратно к клиенту.

Зонная пересылка Имеет непосредсвенное отношение к безопасности систем указанных в DNS потому что при зонной пересылке раскрывается больше количество информации, чем при обычном DNS-запросе, а так же потому что при этом возрастает количество ресурсов, требуемых для сообщения.

Динамические обновления. ВОзможность динамического изменения определяет операции добавления и удаления ресурсных записей в зонном файле.

Зоны DNS которые допускают динамическое изменениЕ, открыты для дополнительных атак. Далее будет приведен полный список потенциальных атак и возможное решение для ограничения возможности выполнить эти атаки.

DNS NOTITY сообщения DNS NOTITY указывают, что вторичному DNS-серверу следует начать зонную пересылку. т.к. запускается зонная пересылка, ложные сообщения DNS NOTITY могут привести к ненужным зонным пересылкам и следовательно потенциальным DoS атакам

Безопасность окружения DNS платформа хоста, по DNS…

Угрозы и обеспечение защиты платформы хоста

Угроза Т1: переполнение буфера по ОС или другого софта Т2: флудинг большим количеством ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера Т3: инсайдер может из лок.сегмента вызвать ARP(спуфинг), — нарушив работу DNS Т4: конфиг (resolv.conf, host.conf, named.conf, root.hint) может быть испорчен вирусами или червями на уровне платформы. обеспечение защиты хоста состоит в: использовании безопасной ОС, безопасном конфигурировании и развертывании ОС

Угрозы ПО DNS

Т5: ПО DNS (name resolve сервера) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки DoS, получении доступа.

  • обновление всего софта
  • выполнение процессов named и resolve с ограниченными привелегиями
  • изолирование ПО named-сервера
  • установка выделенного экземпляра name-сервера для каждой функции
  • удаление ПО name-сервера с непредназначенных для этого машин
  • развертывание отдельных name-серверов для различных классов клиентов

Угрозы данных DNS

Т6: неправилньное делегирование. при некорректном изменении FQDN или ip дочернего сервера. родитель не знает. в такой ситуации дочерняя зона становится недостижимой (DoS атака)

Т7: дрейф зоны и DoS атака: если refresh или min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зоанные пересылки слишком часто. Результат: сильная загрузка как первичного так и вторичного name-серверов.

Т8: информация для атак на определенные цели: ресурстные записи вроде info или txt предоставляют информацию о ПО сервера. Даёт хакерам пищу для размышлений, о атаке на увзвимости в ПО DNS.