Опубликован: 21.09.2006 | Уровень: для всех | Доступ: свободно | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 6:

Принципы безопасного развертывания сервисов DNS

< Лекция 5 || Лекция 6: 1234 || Лекция 7 >

Безопасность окружения DNS

Окружение, в котором выполняются сервисы DNS, состоит из следующих элементов:

  • Платформа хоста (ОС, файловая система, стек коммуникационных протоколов).
  • ПО DNS (name-сервера, resolver’а).
  • Данные DNS (зонный файл, конфигурационный файл).

Рассмотрим угрозы и возможные подходы к защите для окружения DNS.

Угрозы и обеспечение защиты платформы хоста

Угрозы для платформы, на которой выполняется ПО DNS, не отличаются от угроз, с которыми сталкивается любой хост в Интернете. Рассмотрим с точки зрения сервисов DNS эти общие угрозы и их воздействие на DNS:

  • Угроза Т1: ОС или ПО любого другого приложения, выполняющегося на хосте DNS, может быть уязвимо для таких атак, как переполнение буфера, в результате чего не сможет функционировать сервис разрешения имен.
  • Угроза Т2: стек TCP/IP на DNS-хосте (stub resolver’е, кэширующем или авторитетном name-сервере) может являться целью для атак наводнения пакетами (flooding), в результате чего произойдет нарушение связи. Аналогом такой атаки на прикладном уровне является посылка большого количества ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера.
  • Угроза Т3: враждебно настроенный сотрудник, который имеет доступ к локальному сегменту сети (LAN), где расположен DNS, может вызвать атаку, подделывая ARP (spoofing), что разрушит поток сообщений DNS.
  • Угроза Т4: конфигурационный файл (например, resolv.conf и host.conf, named.conf, root.hint и т.п. на UNIX-платформе) может быть испорчен вирусами или червями на уровне платформы или стать объектом неавторизованных модификаций при неадекватной защите на уровне файловой системы, в результате чего будет нарушено взаимодействие между хостами DNS (например, между stub resolver’ом и рекурсивным name-сервером, между рекурсивным name-сервером и авторитетным name-сервером).

Обеспечение защиты и/или уменьшению угроз для платформы хоста DNS состоит в следующем:

  • использование безопасной ОС;
  • безопасное конфигурирование и развертывание ОС.

Угрозы ПО DNS

Угрозы для самого ПО DNS могут серьезно повлиять на безопасность. Большинство общих проблем, связанных с ПО, следующие:

  • Угроза Т5: ПО DNS (name-сервер или resolver) могут иметь такие уязвимости, как переполнение буфера, в результате чего станут возможны разного рода атаки типа DoS-атак и получение неавторизованного доступа.

Наилучшими подходами к обеспечению защиты ПО DNS являются следующие:

  • Выполнение самых последних версий ПО name-сервера или применение соответствующих patches к более ранней версии.
  • Выполнение ПО name-сервера с ограниченными привилегиями.
  • Изолирование ПО name-сервера.
  • Установка выделенного экземпляра name-сервера для каждой функции.
  • Удаление ПО name-сервера с непредназначенных для этого хостов.
  • Создание топологически и географически распределенных name- серверов для защиты от сбоев.
  • Ограничение информации об ИТ-ресурсах, раскрываемой посредством наличия двух различных зонных файлов в одном и том же физическом name-сервере (так называемый split DNS) или развертывая отдельные name-серверы для различных классов клиентов.

Угрозы для данных DNS

Существует два типа данных DNS: зонные файлы и конфигурационные файлы. Содержимое обоих типов файлов имеет отношение к безопасности. Содержимое конфигурационных файлов является составной компонентой безопасного развертывания сервисов DNS. Рассмотрим угрозы для содержимого DNS-данных только относительно данных зонного файла, а именно следующих аспектов этих данных:

  • Значения параметров для некоторых ключевых полей в ресурсных записях различных типов.
  • Наличие некоторых ресурсных записей в зонном файле.

Различные типы нежелательного содержимого в зонном файле могут привести к различным воздействиям на безопасность и в дальнейшем к следующим потенциальным угрозам:

  • Угроза Т6 – неправильное делегирование: данная ошибка возникает, когда FQDN и/или IP-адреса name-серверов были изменены в дочерней зоне, но родительская зона не изменила информацию о делегировании ( NS ресурсные записи и связанные с ними записи). В такой ситуации дочерняя зона становится недостижимой (DoS-атака).
  • Угроза Т7 – дрейф зоны и DoS-атака: если поля Refresh, Retry, Expiry и Min TTL в SOA ресурсной записи первичного name-сервера установлены очень большими, это может привести к несоответствию между первичным и вторичным name-серверами. Данная ошибка называется дрейф зоны; ее результатом являются некорректные данные зоны на вторичных name-серверах. Если Refresh и Min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зонные пересылки очень часто. Результатом этого является сильная загрузка как первичного, так и вторичного name-серверов. Такие некорректные данные и возросшая при этом загрузка могут явиться причиной DoS-атаки.
  • Угроза Т8 – информация для атак на определенные цели: ресурсные записи, такие как HINFO и TXT, предоставляют информацию о названии и версиях ПО (например, для таких ресурсов, как web-серверы и почтовые серверы), что дает возможность хорошо осведомленному атакующему использовать известные уязвимости в версиях ПО и запускать атаки на эти ресурсы.

Подходы, обеспечивающие защиту от этих угроз, будут обсуждаться далее.

< Лекция 5 || Лекция 6: 1234 || Лекция 7 >
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan