Опубликован: 21.09.2006 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 7:

Транзакции DNS

Угрозы зонной пересылке и способы обеспечения защиты

Зонные пересылки выполняют репликацию зонных файлов на несколько серверов для защиты от сбоев DNS-сервиса. Первая угроза, DoS, является общей для любой сетевой транзакции. Вторая угроза основана на использовании знания, которое получено из информации, указанной в зонных пересылках.

  • Угроза Т12 – DoS: так как зонные пересылки включают пересылку всех данных зоны, они требуют больше сетевых ресурсов, чем обычные DNS-запросы. Случайные или преднамеренно частые запросы зонных пересылок могут сильно загрузить сервер первичной зоны, в результате чего возникнет DoS-атака для законных пользователей.
  • Угроза Т13 – сообщение ответа зонной пересылки может быть перехвачено и подделано.

DoS-атака может быть минимизирована, если серверы, которым разрешено делать запросы зонных пересылок, ограничены множеством известных участников. Для конфигурирования подобного множества известных участников в первичном name-сервере должны существовать значения, идентифицирующие этих участников. ПО name-сервера, такое как BIND, предоставляет возможность с помощью конфигурационных опций ограничить запросы зонных пересылок множеством указанных IP-адресов. Однако, поскольку IP-адреса могут быть подделаны, такой способ конфигурации не обеспечивает безопасного ограничения выполнения зонных пересылок.

Был разработан альтернативный механизм, называемый transaction signature ( TSIG ) , при использовании которого взаимная аутентификация серверов основана на разделяемом секретном ключе. Так как количество серверов, включенных в зонную пересылку, ограничено (обычно это name-серверы в одном и том же административном домене), двухсторонняя модель доверия, основанная на разделяемом секретном ключе, является адекватной для большинства случаев, — исключением могут быть только очень большие организации. TSIG описывает, как разделяемый секретный ключ используется не только для взаимной аутентификации, но и для аутентификации запросов и ответов зонных пересылок. Следовательно, это обеспечивает защиту от подделки сообщений запросов зонной пересылке (угроза Т13). Защита самих данных DNS в сообщении зонной пересылке также может быть обеспечена с помощью проверки подписи для ресурсных записей зоны, созданной name-сервером. Эти подписи, однако, не охватывают всю информацию в зонном файле (например, информацию делегирования). Более того, они позволяют проверить только отдельные множества ресурсных записей, а не все сообщение запроса зонной пересылке.

Угрозы для динамических обновлений и способы обеспечения защиты

Динамические обновления означают, что клиенты могут делать изменения в данных зоны авторитетного name-сервера в реальном режиме времени. Клиентами, которые обычно выполняют динамические обновления, являются СА-серверы, DHCP-серверы или Интернет Multicast Address серверы. Рассмотрим некоторые основные угрозы, основанные на том факте, что динамические обновления означают модификацию данных, передаваемых по сети.

  • Угроза Т14 – неавторизованные модификации: неавторизованные модификации могут иметь несколько опасных последствий для содержимого зоны. Это включает:

    (i) добавление незаконных ресурсов (новый FQDN и новые ресурсные записи в файл зоны);

    (ii) удаление законных ресурсов (весь FQDN или конкретные ресурсные записи);

    (iii) изменение информации делегирования (NS-ресурсные записи, ссылающиеся на дочерние зоны).

  • Угроза Т15: данные в запросе динамического обновления могут быть подделаны.
  • Угроза Т16 – replay-атаки: сообщения запроса обновления могут быть перехвачены и повторены позднее, тем самым вызвав ненужные модификации.

Угрозы Т14 и Т15 могут быть ликвидированы аутентификацией участников и обеспечением способов определения подделанных сообщений. Так как данные цели безопасности в случае зонной пересылки могут быть решены TSIG-механизмом, тот же самый TSIG-механизм используется для защиты динамических обновлений. TSIG также обеспечивает способ защиты от replay-атак (угроза Т16) включением поля с отметкой времени в запрос динамического обновления таким образом, чтобы отметка времени также была аутентифицирована. Данная отметка времени дает возможность серверу определить своевременность запроса динамического обновления, используя ограничения времени, указанные в конфигурации.

Угрозы DNS NOTIFY и способы обеспечения защиты

DNS NOTIFY является сообщением, посылаемым первичным name-сервером вторичному, которое содержит информацию, что зонный файл изменился и что вторичному name-серверу следует выполнить зонные пересылки для поддержания своих зонных файлов в синхронном состоянии. Так как сообщение NOTIFY является сигнальным, то существует минимальный риск безопасности, связанный с данным сообщением. Считается, что основной риск состоит в следующем:

  • Угроза Т17 – поддельные сообщения NOTIFY: вторичные name-серверы могут получить поддельные сообщения DNS NOTIFY из других источников, отличных от первичного name-сервера.

Единственным воздействием при получении поддельного сообщения DNS NOTIFY является возрастание нагрузки на первичный и вторичный name-серверы из-за более частых зонных пересылок. Так как происходит небольшое воздействие, подход к обеспечению защиты состоит в конфигурировании вторичного name-сервера для получения сообщения DNS NOTIFY только от конкретного первичного name-сервера.

Выводы

Просуммируем транзакции DNS и связанные с ними угрозы, цели безопасности и механизмы безопасности, обеспечивающие защиту от этих угроз.

Транзакция DNS Угрозы Цели безопасности Механизмы безопасности
DNS Query/Response

(a) Изменение или вставка ложного ответа

(b) Удаление ресурсных записей в ответах

(c) Некорректные правила расширения wildcard

(a) Аутентификация исходных данных

(b) Проверка целостности данных

DNSSEC
Зонная пересылка

(a) DoS-атака

(b) Изменение сообщений

(a) Взаимная аутентификация участников

(b) Проверка целостности данных

TSIG
Динамическое обновление

(a) Неавторизованные модификации

(b) Изменение сообщений

(c) Replay-атака

(a) Взаимная аутентификация участников

(b) Проверка целостности данных

(c) Подписанные отметки времени

TSIG
DNS NOTIFY (a) Ложные уведомления (a) Предотвращение DoS-атак, возникающих из-за возрастания нагрузки Конфигурационные опции
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Иван Бузмаков
Иван Бузмаков
Россия, Сарапул
Никита Сомов
Никита Сомов
Россия, Удмуртская республика