Воскресенье
17-11-19, 07:51
"КОМП" от и до!
Приветствую Вас Гость | RSS
Главная Статьи Регистрация Вход
Меню сайта

Категории каталога
Информационная безопасность [36]
Безопасность в компьютерных сетях, способы защиты и д.р.
Операционные системы [12]
Установка, настройка и эксплуатация операционных систем
Компьютерные сети [57]
Всё о локальных и глобальных сетях.
Тенические средства и периферия [0]
Устройства, настройка, эксплуатация и устранение проблем
Программирование [15]
Стать и по программированию, языки программирования
Web-разработка и дизайн [9]
Web-программирование, дизайн, web-графика

Наш опрос
Статьи по каким темам вам наиболее интересны?
Всего ответов: 250

Реклама

Главная » Статьи » Информационная безопасность

Контрмеры: обеспечение безопасности базы данных DNS
Информация DNS представляет для хакера весьма огромной интерес, потому весьма важно уменьшить объем данных, доступных ч/з Internet. С позиции настройки узла, требуется ограничить возможность переноса зоны, разрешив ее только определенным серверам. В современных версиях службы BIND для таких целей возможно применять директиву xfernets файла named.boot. Для того чтоб ограничить возможность переноса зоны службы DNS компании Майкрософт, требуется применять параметр Notify (более подробную информацию по этому вопросу есть по адресу http://support.-майкрософт.eom/support/kb/articles/ql93/8/37.asp). Для настройки служб имен иных девелоперов требуется обратиться к соответствующей документации.
С позиции зашиты сети требуется настроить брандмауэр или фильтрующий маршрутизатор т.о., чтоб они отсекали все несанкционированные входящие соединения с портом 53 протокола TCP. Так как в запросах на получение имен применяется протокол UDP, а в запросах на перенос зоны - протокол TCP, это даст возможность эффективно пресекать любые попытки переноса зоны. Также, целесообразно поставить устройство управления доступом или систему выявления вторжений (IDS - intrusion detection system), чтоб регистрировать всю информацию, которая может свидетельствовать об опасных действиях.
Ограничение возможности переноса зоны увеличит время, которое должен потратить взломщик, перебирая IP-адреса и пробуя различные имена узлов. Хотя так как запросы на получение имен по-прежнему остаются разрешенными, взломщик может руками перебрать все IP-адреса из выделенного для сети диапазона адресов. Так, настройте внешние серверы имен так, чтоб они предоставляли информацию лишь о компьютерах, которые именно подключены к Internet. Эти внешние серверы DNS ни при каких обстоятельствах не обязаны разглашать информацию о внутренней сети. Может казаться, что перечисленные выше рекомендации являются очевидными, хотя мы не нечасто встречали DNS-серверы, которые позволяли "вытащить" из них более 16000 внутренних IP-адресов и имен узлов. И наконец, лучше не применять записи HINFO. Как вы увидите ниже в этой главе, это едва ли поможет скрыть от взломщика тип операционной системы, хотя затруднит его задачу, так как он не сумеет автоматизировать процесс приобретения данной информации программным способом.
Категория: Информационная безопасность | Добавил: kompot (11-08-28)
Просмотров: 286 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа

Поиск

Друзья сайта

Статистика


Copyright MyCorp © 2017