logo
Протокол DNS. Методы сетевых атак и защиты

3.1 Методы борьбы с атаками на DNS-сервер

1. Шифровка данных, с чем поможет DNSSEC. DNSSEC - набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Его цель - обеспечить аутентификацию и целостность информации, содержащейся в DNS, что как раз таки достигается посредством шифрования.

Немного о DNSSEC. Опирается на шифрование с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если расшифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).

2. Фильтрация IP-пакетов на пограничном маршрутизаторе или брандмауэре, адрес отправителя которых совпадает с внутренними IP-адресами сети.

3. Уменьшения степени доверия к информации, приходящей от других DNS-серверов, или даже игнорирования любых DNS-записей, прямо не относящихся к запросам (такие проверки проводит BIND версии 9, 10).

4. Использование случайных UDP-портов для выполнения DNS-запросов. Это поможет существенно снизить вероятность успешной атаки на кэш.

5. Не применять или вовсе запретить использование тех приложений, где аутентификация проходит только по доменному имени машины или имени пользователя. Для сокращения степени риска на сервере должны выполняться только самые необходимые для его работы приложения. Затем вы можете ограничить доступ к этим сервисам и предусмотреть жесткую идентификацию для тех приложений, для которых она необходима.

6. Все ПО, включая программное обеспечение DNS, должно быть представлено в самых последних редакциях, и к ним должны быть применены все доступные обновления. При оценке возможности размещения DNS на сервере вы должны помнить, что всякое выполняющееся на сервере сетевое приложение увеличивает риск взлома. С появлением автоматизированного инструментария сканирования при выходе в Internet серверы DNS подвергаются постоянному зондированию и попыткам вторжения. Здесь практически ничего нельзя поделать, так как серверы DNS должны отвечать на запросы.

7. Использовать расщепленную модель DNS, которая ограничить открытость серверов для доступа извне. При такой модели один сервер DNS с минимальной информацией помещается с внешней стороны сети, в то время как второй сервер - с внутренней стороны. Доступ к этому серверу возможен только из внутренней сети, и он содержит всю информацию DNS по внутренней сети. Нужно понимать, что внутренние серверы могут подвергнуться атакам и изнутри сети, поэтому они должны быть защищены так же тщательно, как внешние серверы DNS.