Межсетевое экранирование

Использование самой последней версии ПО name-сервера


Каждая последующая версия ПО name-сервера, (особенно это касается BIND), обычно лишена уязвимостей, найденных в более ранних версиях. Если установлены старые версии, то эти уязвимости могут использоваться атакующим, чтобы осуществить атаку. Таким образом, хорошей практикой считается выполнение самой последней версии BIND, потому что теоретически она самая безопасная. Но даже если используется ПО самой последней версии, небезопасно выполнять его в режиме "по умолчанию". Администратор должен свободно владеть всеми установками безопасности для этой последней версии.

В некоторых случаях невозможен немедленный переход на самую последнюю версию BIND. В этой ситуации следует понять уязвимости, обнаруженные в существующей версии, и использовать соответствующие обновления, относящиеся к безопасности.

Рекомендации:

  1. При инсталляции версии ПО name-сервера администратор должен сделать необходимые изменения в конфигурационных параметрах, чтобы использовать преимущества новых возможностей, связанных с безопасностью.

  2. Выполнить следующие действия:

    • Подписаться на список рассылки ISC, называемый "bind-announce".

    • Периодически проверять найденные уязвимости BIND на http://www.isc.org/product/BIND/bind-security.html.
    • Проверять базу данных уязвимостей CERT/CC на http://www.kb.cert.org/vuls/ и NIST NVD базу данных на http://nvd.nist.gov/.



Содержание раздела