Межсетевое экранирование

Угрозы для данных DNS


Существует два типа данных DNS: зонные файлы и конфигурационные файлы. Содержимое обоих типов файлов имеет отношение к безопасности. Содержимое конфигурационных файлов является составной компонентой безопасного развертывания сервисов DNS. Рассмотрим угрозы для содержимого DNS-данных только относительно данных зонного файла, а именно следующих аспектов этих данных:

  • Значения параметров для некоторых ключевых полей в ресурсных записях различных типов.
  • Наличие некоторых ресурсных записей в зонном файле.

Различные типы нежелательного содержимого в зонном файле могут привести к различным воздействиям на безопасность и в дальнейшем к следующим потенциальным угрозам:

  • Угроза Т6 – неправильное делегирование: данная ошибка возникает, когда FQDN и/или IP-адреса name-серверов были изменены в дочерней зоне, но родительская зона не изменила информацию о делегировании (NS ресурсные записи и связанные с ними записи). В такой ситуации дочерняя зона становится недостижимой (DoS-атака).
  • Угроза Т7 – дрейф зоны и DoS-атака: если поля Refresh, Retry, Expiry и Min TTL в SOA ресурсной записи первичного name-сервера установлены очень большими, это может привести к несоответствию между первичным и вторичным name-серверами. Данная ошибка называется дрейф зоны; ее результатом являются некорректные данные зоны на вторичных name-серверах. Если Refresh и Min TTL поля в SOA RR установлены очень маленькими, вторичный сервер будет инициировать зонные пересылки очень часто. Результатом этого является сильная загрузка как первичного, так и вторичного name-серверов. Такие некорректные данные и возросшая при этом загрузка могут явиться причиной DoS-атаки.
  • Угроза Т8 – информация для атак на определенные цели: ресурсные записи, такие как HINFO и TXT, предоставляют информацию о названии и версиях ПО (например, для таких ресурсов, как web-серверы и почтовые серверы), что дает возможность хорошо осведомленному атакующему использовать известные уязвимости в версиях ПО и запускать атаки на эти ресурсы.

Подходы, обеспечивающие защиту от этих угроз, будут обсуждаться далее.



Содержание раздела