Контрмеры: обеспечение безопасности базы данных DNS
Информация DNS представляет для хакера весьма огромной интерес, потому весьма важно уменьшить объем данных, доступных ч/з Internet. С позиции настройки узла, требуется ограничить возможность переноса зоны, разрешив ее только определенным серверам. В современных версиях службы BIND для таких целей возможно применять директиву xfernets файла named.boot. Для того чтоб ограничить возможность переноса зоны службы DNS компании Майкрософт, требуется применять параметр Notify (более подробную информацию по этому вопросу есть по адресу http://support.-майкрософт.eom/support/kb/articles/ql93/8/37.asp). Для настройки служб имен иных девелоперов требуется обратиться к соответствующей документации. С позиции зашиты сети требуется настроить брандмауэр или фильтрующий маршрутизатор т.о., чтоб они отсекали все несанкционированные входящие соединения с портом 53 протокола TCP. Так как в запросах на получение имен применяется протокол UDP, а в запросах на перенос зоны - протокол TCP, это даст возможность эффективно пресекать любые попытки переноса зоны. Также, целесообразно поставить устройство управления доступом или систему выявления вторжений (IDS - intrusion detection system), чтоб регистрировать всю информацию, которая может свидетельствовать об опасных действиях. Ограничение возможности переноса зоны увеличит время, которое должен потратить взломщик, перебирая IP-адреса и пробуя различные имена узлов. Хотя так как запросы на получение имен по-прежнему остаются разрешенными, взломщик может руками перебрать все IP-адреса из выделенного для сети диапазона адресов. Так, настройте внешние серверы имен так, чтоб они предоставляли информацию лишь о компьютерах, которые именно подключены к Internet. Эти внешние серверы DNS ни при каких обстоятельствах не обязаны разглашать информацию о внутренней сети. Может казаться, что перечисленные выше рекомендации являются очевидными, хотя мы не нечасто встречали DNS-серверы, которые позволяли "вытащить" из них более 16000 внутренних IP-адресов и имен узлов. И наконец, лучше не применять записи HINFO. Как вы увидите ниже в этой главе, это едва ли поможет скрыть от взломщика тип операционной системы, хотя затруднит его задачу, так как он не сумеет автоматизировать процесс приобретения данной информации программным способом.
Главная 