🖥 8 советов по предотвращению DNS-атак — Information Security Squad

🖥 8 советов по предотвращению DNS-атак

DNS — это сердце и душа интернета.

Это похоже на гигантскую телефонную книгу, которую ваш компьютер использует для сопоставления имен хостов с IP-адресами для взаимодействия с общественными службами, такими как веб-сайты.

Безопасники по всему миру много работают, анализируя DNS-серверы, DNS-зоны, домены и IP-адреса, и, как мы видели в прошлых сообщениях в этом блоге, эти технологии могут раскрыть много потенциально полезной информации.

Сегодня мы покажем вам, как защититься от распространенных DNS-атак, используя общие рекомендации.

Следуйте этим советам, чтобы защитить вашу компанию от атак на основе доменных имен и раскрытия информации.

Как хакеры атакуют инфраструктуру DNS?

Служба DNS является одной из самых популярных интернет-служб, и в то же время она часто забывают защищена системными администраторами, разработчиками и сетевиками.

Они часто фокусируются на других популярных сервисах, таких как системы баз данных, сервисы SSH или веб-серверы.

Конфигурации DNS-серверов, в которых отсутствует должное усиление безопасности, могут иногда приводить к действительно серьезным проблемам, поскольку злоумышленники могут использовать систему для выполнения таких задач, как передача зон DNS, изменение преобразователей DNS, чтобы сообщать различные IP-адреса мошенникам, перенаправлять веб- и почтовый трафик или запускать опасные DNS-атаки, среди прочих типов атак.

Когда это происходит, посетители веб-сайта не имеют возможности обнаружить, что их трафик был перенаправлен на другой сервер или что их электронная почта была отправлена на сервер, отличный от оригинальных серверов MX атакованного домена.

Вот почему так важно всегда обеспечивать безопасность своих DNS-серверов.

Как  предотвратить атаки DNS?

Давайте начнем с восьми ключевых советов по укреплению защиты ваших служб DNS:

1. Аудит ваших DNS зон

Обо всем по порядку.

Самая важная вещь, которую вы должны рассмотреть помимо основной конфигурации DNS-сервера, это ваша DNS-зона.

Со временем мы склонны забывать о тестовых доменных именах или поддоменах, которые иногда используют устаревшее программное обеспечение или неограниченные области, уязвимые для атаки, или если запись A показывает внутреннюю / зарезервированную область интрасети по ошибке.

Начните изучать все свои публичные записи DNS с помощью SecurityTrails: просмотрите все свои зоны, записи и IP-адреса.

Проведите аудит ваших записей A, CNAME и MX.

2. Поддерживайте актуальность ваших DNS-серверов.

Запуск ваших собственных серверов DNS дает вам возможность настраивать, тестировать и пробовать то, что вы, возможно, не сможете использовать на частных DNS-серверах, таких как те, что предоставляет ваш хостинг-провайдер, или когда вы регистрируете учетную запись в Cloudflare.

Когда вы решаете запустить свои собственные DNS-серверы, возможно, с использованием программного обеспечения, такого как BIND, PowerDNS, NSD или Microsoft DNS, и, как и остальная часть программного обеспечения операционной системы, важно поддерживать эти пакеты в актуальном состоянии, чтобы предотвратить использование эксплойтов, нацеленных на ошибки и уязвимости.

Последние версии всех популярных DNS-серверов включают исправления от известных уязвимостей, а также поддержку технологий безопасности, таких как DNSSec и RRL (ограничение скорости отклика), которые очень полезны для предотвращения атак отражения DNS.

Как обновить свой сервер bind?

На дистрибутивах на основе RHEL вы можете обновить Bind, запустив:

yum update bind -y

На дистрибутивах на основе Ubuntu и Debian:

apt-get update bind9 bind9-host

Перезапустите сервис, чтобы применить изменения:

service named restart
или
service bind9 restart

3. Скройте версию BIND

Хотя некоторые люди не могут рассматривать это как практику безопасности, безопасность через неизвестность — это еще один способ скрыть информацию от злоумышленников, когда они проводят первоначальный аудит безопасности на вашем сервере.

В этом случае, например, если вы запускаете Bind, злоумышленник может легко получить версию вашего DNS-сервера, выполнив удаленный запрос, подобный следующему:

dig @ns1.server.com -c CH -t txt version.bind

Если сервер не скрывает номер версии, он должен вернуть что-то вроде:

;; ANSWER SECTION: VERSION.BIND. 0 CH TXT «named 9.8.2…»

Как скрыть версию BIND?

Отредактируйте ваш файл named.conf, обычно расположенный в /etc/named.conf

Найдите  блок конфигурации  options { … };

В конце этого блока вы найдете переменную версии (если нет, добавьте ее):

version "BIND";

Чтобы скрыть свою версию bind, просто установите этот параметр как-то еще, например:

version "Forbidden";

Сохраните и закройте файл конфигурации.

Перезапустите BIND, чтобы применить изменения:

service named restart
или
service bind9 restart

4. Ограничьте передачу зон

Передача зоны DNS — это просто копия зоны DNS, и хотя этот метод часто используется подчиненными серверами DNS для запроса главных DNS-серверов, иногда злоумышленники могут попытаться выполнить передачу зоны DNS, чтобы лучше понять вашу сеть. топологию.

Одна из вещей, которые можно сделать, чтобы предотвратить подобные уловки, — это ограничить то,  каким DNS-серверам разрешено выполнять  трансфер зоны, или, по крайней мере, ограничить разрешенные IP-адреса, которые могут делать такие запросы.

Вот почему ограничение передачи зон является одним из лучших способов защитить вашу ценную информацию о зоне DNS.

Лучший способ предотвратить это — использовать ACL, как мы увидим ниже.

Как  ограничить передачу зоны DNS определенными IP-адресами?

Во-первых, давайте снова отредактируем основной файл конфигурации BIND.

После открытия давайте добавим этот новый блок конфигурации:

zone securitytrails.com {

type master; file «zones/securitytrails.com»;

allow-transfer { trusted-servers; };

};

Перезапустите BIND, чтобы применить изменения:

service named restart
или
service bind9 restart

Тестирование передачи зоны DNS

Инструменты dig, host и nslookup — ваши лучшие друзья, когда дело доходит до тестирования любого ответа DNS с удаленных серверов.

Давайте используем команду host, чтобы проверить, запрещена или разрешена передача зоны DNS.

host -T axfr securitytrails.com

Если передача зоны запрещена, вы должны увидеть что-то вроде:

Connection to 12.34.56.78#53(12.34.56.78) for axfr failed: connection refused.

 

5. Отключите рекурсию DNS для предотвращения атак отравления DNS

DNS-рекурсия включена по умолчанию на большинстве серверов Bind во всех основных дистрибутивах Linux, и это может привести к серьезным проблемам безопасности, например, к атакам отравления DNS.

Когда рекурсия DNS включена в конфигурации вашего сервера, DNS-сервер разрешает рекурсивные запросы для других доменов, которые на самом деле не являются настоящими мастер-зонами, расположенными на том же сервере имен, это просто позволяет сторонним хостам запрашивать серверы имен так, как они хотят.

Этот параметр также может увеличить вашу подверженность атакам DNS-усиления, поэтому вы всегда должны отключать рекурсию DNS на своих DNS-серверах, если ваш план не предусматривает получение рекурсивных DNS-запросов.

6. Используйте изолированные DNS-серверы

Запуск собственного DNS-сервера возможен с использованием выделенного сервера или облака, где вы размещаете остальные веб-службы, такие как сервер приложений, HTTP-сервер или сервер базы данных.

Это обычная практика для небольших компаний, которые часто хранят все свои серверные сервисы в одной коробке cPanel или Plesk.

Если вы решите положить все яйца в одну корзину, вы должны убедиться, что в этом поле достаточно надежная защита сервера для каждого работающего демона, а также для приложений, работающих внутри операционной системы.

Хотя лучшее, что вы можете сделать, это использовать собственную среду выделенного DNS-сервера, не имеет значения, основана ли она на облачных или выделенных серверах, если она на 100% предназначена только для служб DNS.

Изолирование этого DNS-сервера от остальных серверов приложений поможет снизить вероятность получения атак веб-приложений.

Закройте все ненужные порты сервера, остановите ненужные службы ОС, отфильтруйте трафик с помощью брандмауэра и разрешите только базовые службы, такие как SSH и сам DNS-сервер.

Это очень поможет снизить вероятность атаки DNS.

7. Используйте поставщика защиты от DDOS

В то время как небольшие и средние DOS и DDOS могут быть смягчены путем настройки сетевых фильтров, HTTP-сервисов и отклика ядра операционной системы, крупомасштабный DDOS намного серьезнее.

Если вы используете свои собственные DNS-серверы и подвергаетесь массовой DDOS-атаке, использование полосы пропускания вероятно, приведет к значительному простою, если ваш поставщик услуг сначала не применяет нулевой маршрут к вашим IP-адресам.

Вот почему лучшее, что вы можете сделать, — это нанять специализированную услугу против DDOS, такую ​​как Cloudflare, Incapsula или Akamai, чтобы наилучшим образом смягчить DDOS и поддерживать ваши DNS-серверы в безопасности и всегда своевременно реагировать на инциденты.

8. Двухфакторная аутентификация

Если вы не используете свои собственные DNS-серверы и решили использовать стороннюю управляемую службу DNS, такую ​​как Cloudflare DNS или DNSMadeEasy, вы можете быть уверены, что их серверы достаточно хорошо защищены.

Тем не менее, никто (даже их генеральный директор) не застрахован от компрометации аккаунта, но, честно говоря, вероятность очень низкая.

И даже в худшем случае злоумышленник может получить доступ к вашему имени пользователя и паролю, но вы можете контролировать свою учетную запись, если используете двухфакторную аутентификацию.

Это наш последний совет, чтобы избежать компрометации зоны DNS: установите двухфакторную защиту аутентификации на вашем провайдере DNS-сервера, если возможно, избегайте проверки телефонных звонков или SMS-сообщений и используйте вместо этого Google Authenticator — это намного более безопасно.

Заключение

Хакеры всегда будут пытаться ориентироваться на сервисы вашей компании, пытаясь найти слабые места в вашей системе доменных имен.

Наличие надежной политики DNS-защиты поможет смягчить большинство атак, описанных выше.

Начните аудит ваших DNS-зон, чтобы обезопасить ваши DNS-серверы, собрать информацию и постараться максимально сократить общедоступную информацию о DNS.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40