66 Принципы безопасного развертывания серверов DNS Спецификации механизмов безопасного развертывания сервисов DNS приводится в следующих документах: - спецификации DNSSEC (IETF RFC: 4033, 4034, 4035, 3833) - спецификации TSIG (Transaction Signature, IETF RFC: 2845, 3007) Сервисы DNS mail-сервер веб-сервер Инфраструктура DNS Только 1 root домен. 13 корневых DNS серверов. TLDs - код страны - домен верхнего уровня Компоненты DNS и понятие безопасности для них DNS включает сущности: - платформа (ПК, ОС) на которой выполняется name-сервер и resolver - ПО name-сервера и resolver - транзакции DNS - репозиторий DNS (зонные файлы) - конфиг.файлы для name-сервера и resolver Гарантирование аутентичности информации и поддержка целостности информации при передаче являются важными для обеспечения корректного функционирвоания Интернета, для которого DNS обеспечивает сервис разрешения имен. Следовательно целостность и аутентификация источника являются основными сервисами безопасности DNS. Основные механизмы безопасности для сервисов DNS DNSSEC Администрирование DNS с учетом требований безопасности: - выбор алгоритмов и размеров ключей (TSIG и DNSSEC) - управлением ключем (создание, хранение, использование) - опубликование открытого ключа и определение доверенных корневых ключей - восстановление ключа (плановое, аварийное) Зонный файл Name-серверы Resolver Транзакции DNS Запрос-ответ DNS Запросы DNS посылаются в открытом виде, но при этом хотелось чтобы полученный ответ являлся корректным и прешел от аутентичного источника. Как результат, для активного атакующего существует возможность перехватить (и изменить) или сфабриковать ответы обратно к клиенту. Зонная пересылка Имеет непосредсвенное отношение к безопасности систем указанных в DNS потому что при зонной пересылке раскрывается больше количество информации, чем при обычном DNS-запросе, а так же потому что при этом возрастает количество ресурсов, требуемых для сообщения. Динамические обновления. ВОзможность динамического изменения определяет операции добавления и удаления ресурсных записей в зонном файле. Зоны DNS которые допускают динамическое изменениЕ, открыты для дополнительных атак. Далее будет приведен полный список потенциальных атак и возможное решение для ограничения возможности выполнить эти атаки. DNS NOTITY сообщения DNS NOTITY указывают, что вторичному DNS-серверу следует начать зонную пересылку. т.к. запускается зонная пересылка, ложные сообщения DNS NOTITY могут привести к ненужным зонным пересылкам и следовательно потенциальным DoS атакам Безопасность окружения DNS платформа хоста, по DNS... Угрозы и обеспечение защиты платформы хоста Угроза Т1: переполнение буфера по ОС или другого софта Т2: флудинг большим количеством ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера Т3: инсайдер может из лок.сегмента вызвать ARP(спуфинг), - нарушив работу DNS Т4: конфиг (resolv.conf, host.conf, named.conf, root.hint) может быть испорчен вирусами или червями на уровне платформы. обеспечение защиты хоста состоит в: использовании безопасной ОС, безопасном конфигурировании и развертывании ОС Угрозы ПО DNS Т5: ПО DNS (name resolve сервера) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки DoS, получении доступа. - обновление всего софта - выполнение процессов named и resolve с ограниченными привелегиями - изолирование ПО named-сервера - установка выделенного экземпляра name-сервера для каждой функции - удаление ПО name-сервера с непредназначенных для этого машин - развертывание отдельных name-серверов для различных классов клиентов Угрозы данных DNS Т6: неправилньное делегирование. при некорректном изменении FQDN или ip дочернего сервера. родитель не знает. в такой ситуации дочерняя зона становится недостижимой (DoS атака) Т7: дрейф зоны и DoS атака: если refresh или min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зоанные пересылки слишком часто. Результат: сильная загрузка как первичного так и вторичного name-серверов. Т8: информация для атак на определенные цели: ресурстные записи вроде info или txt предоставляют информацию о ПО сервера. Даёт хакерам пищу для размышлений, о атаке на увзвимости в ПО DNS.