دياناس المخاطر والأمن

دياناس هو نظام أسماء المجالات. انه حزب ا - وبرنامج التعاون التقني القائم على البروتوكول ان يستمع على 53 ميناء. برنامج التعاون التقني وصلات الشاءعه الاستخدام لنقل المنطقة.

فان دياناس مباريات hostnames إلى عناوين بروتوكول انترنت (وhostnames إلى عناوين بروتوكول انترنت). أ دياناس الخادم هو المسؤول ، او الموثوق بها ، لجزء معين من نظام أسماء المجالات (على سبيل المثال ، mybitofthenet.com).

تقديم طلبات العملاء من دياناس خدمة عندما يريدون التواصل مع النظم التي لها وحدها مؤهلة تماما اسم المضيف (على سبيل المثال ، myserver.mybitofthenet.com).

فان دياناس هي جزء حيوي من البنية الاساسية للشبكة. فشلها ، سواء من خلال عدم الكفاءه الاداريه او الحرمان من الخدمة - يمكن ان تترتب عليه نتائج كبرى.

دياناس المخاطر

  

فان دياناس البروتوكول المشاكل الامنية. وصف مفصل للدياناس وبروتوكولها الضعف ويمكن الاطلاع على http://www.geocities.com/compsec101/papers/dnssec/dnssec.html. دياناس هو معرف في عدد من rfcs - انظر التفاصيل الكاملة لhttp://www.dns.net/dnsrd/rfc/.

بقدر ما يذهب يونيكس المضيفه الامن ، والاكثر استعمالا دياناس خادم البرمجيات هو الزام (بيركلي الانترنت اسم شيطان) ، التي وضعها الائتلاف برمجيات الانترنت (سيدني). بشكل افتراضي ، والزام شيطان "التي تحمل عنوان" جذور تمتد مع الامتيازات - وهذا هو المهم - فهو لا يلقي لها بصفة دائمة بعيدا ملزمة بعد 53 الى الميناء. لذا ، في الزام مواطن الضعف يمكن ان يؤدي الى نظام كامل وسطا.

دعونا ننظر الى السجل التاريخي للإلزام.

الاصدار 8-2-3 تم الافراج عنه في كانون الثاني / يناير 2001 لتحديد اربع نقاط الضعف الامنية التي اكتشفتها مختبرات سرية (PGP الامن) وكلاوديو musmarra. اثنين عازلة الفيضانات تسمح الناءيه المهاجمين لكي تتمكن من تشغيل اي قانون يختارونه هم. اثبات المدخلات خطأ تمكن المهاجمون لكي تتمكن من تشغيل أي قانون ، وتسرب معلومات تسمح البيانات في الكومه الى ان ينظر اليها من جانب المهاجم. هذا واحد آخر قد لا يبدو ذلك سيئا. بعد كل شيء ، انه غير مباشرة - جذور وسطا في الانتظار ، لكنه في الواقع يساعد تطوير يستغل ضد موقع معين. الكومه يحمل المتغيرات المحلية ، ومتغيرات البيئة ، ويتناول العملية الهامة. قبل الوصول الى هذه ، عازلة الفائض يمكن كتابة دون التجربه والخطأ. وهذا امر مهم لان عازلة الفيضانات وغالبا ما تكون طلقة واحدة الهجوم - اذا كنت احصل عليه حتى قليلا من الخطأ ، وأنت من المرجح ان تحطم خدمة الخربشه به جميع البيانات في وقت لاحق فوق كومة التي يعتمد عليها البرنامج.

لقد كانت تربط الامن انذارات 12 من CERT في اربع سنوات فقط - بالكاد تظهيره من الزام الأمن!

عامل رئيسي هو المعقد للتلزم المدونه. ج المبرمجين ذوي الخبرة التعليق ان تلزم المدونه بشكل لا يصدق يصعب فهمها. عندما أنجز المبرمجين النضال من اجل فهم ما يحدث ، يمكنك ان تكون على يقين من المشاكل الامنية. مدونة معقدة يصعب المراجعه - افضل عمل تصاميم نموذجية ، في الصغيرة التي ، والبرامج المتميزة (التي هي اسهل لمراجعة الحسابات) من اداء متميز العمليات. وبطبيعة الحال ، فإن مطوري برمجيات لم المبين على ان اكتب شيئا حتى قبل ان يجدوا بجد للمحافظة - وتتمثل الصعوبه نتيجة للسمة انفخ. ولعل هذا واحد من الاسباب للبرمجيات مؤخرا اعيد كتابة اجزاء رئيسية من الزام.

في كانون الثاني / يناير 2001 ، وسميت اعلنت الافراج عن رئيسي النسخه الجديدة من الزام - الاصدار 9.1.0. ويتضمن هذا الاصدار لدعم dnssec - بروتوكول تمديد ان يتغلب بعض من تصميم الامن الضعف في المخزون دياناس البروتوكول (dnssec هو معرف في المضيقين 2535.) والجدير بالذكر ، ان القانون لم يكن مجزا ، وحتى الآن لدينا ان القانون الجديد لا يزال من الصعب لمراجعة الحسابات. كثير من المواقع ، ومن المرجح ان تستمر بالظهور 8 تربط ، على الاقل في المدى القصير.

وتبين ان المهاجمين اقتحام تربط بين مراكز خدمة ، فاضطر بلا حدود معدلات unpatched تربط بين مراكز خدمه على النحو رقم واحد مشكلة امنية على شبكة الانترنت. استغل لالزام كثيرة. دياناس خدمة اهداف هي الطعم لان الكثير من الانترنت ويعتمد ذلك الحين. مع سيطره أ تربط الخادم ، يمكنك ان تفعل حقا حقير الأمور ، على سبيل المثال :

• ان تحرم من موقع الحركة عن طريق تغيير الملكيه الفكريه / اسم التخطيط الى معالجة غير موجود. والاسوأ من ذلك ، يمكنك ان تعيد توجيه حركة المرور الى موقع إباحي او منافس. فقدت الايرادات والصحافة السيءه لا تساعد اي قيمة أسهم الشركة.

• نسخة الكترونيه في الموقع التجارية ، وتعديل الموقع دياناس الخادم الخاص بك النصاب الى خريطه الموقع ، وجمع تفاصيل بطاقه الائتمان ، وحساب مستخدم ، وكلمة السر من التفاصيل.

• استغلال علاقات الثقة بين احد من خلال رسم خرائط نظم الملكيه الفكريه من جانب واحد من علاقة الثقة إلى جهازك.

• توفيقي احد جذور nameservers.

ان الماضي واحدة تبعث على القلق بوجه خاص. جذور nameservers هي نقطة الانطلاق للمعالجة على الانترنت. وهناك فقط 13 nameservers الجذريه في المجموع (بسبب قيود البروتوكول). تولى nameservers الجذريه ، ويمكن ان يكون لكم الانترنت في يدك. بوصفها جانبا ، واختيار منهاج ونظم التشغيل لهذه الآلات ويتبع مبدأ الأمن من خلال التنوع. اقتبس من 2000 بيان على الانترنت لل(مؤسسة الإنترنت للأسماء والأرقام المخصصه) الموقع :

جذور انفسهم لخدمة جميع استخدام بعض البديل لنظام تشغيل يونيكس ، ولكن كل الاجهزه وقاعدة vendors'unix الخيارين نسبيا متنوعة : من اصل 13 خدمة ، وهناك 7 أجهزة منصات مختلفة بالظهور 8 نسخ مختلفة من نظام تشغيل مختلف 5 البائعين.

هذه هي فكرة سليمة - تستخدم في الطبيعة عن طريق الطبيعة الأم نفسها. وبطبيعة الحال ، فانه ينهار اذا لم يكن لديك الكفايه متنوعة الاداريين على ادارتها بشكل آمن من جهة الى ثمانيه نظم تشغيل مختلفة.

وبصرف النظر عن العيوب الامنية ، misconfiguration امر شائع. عندما يصل حجم موقعك ، وسوف المهاجمين طلب النقل من منطقة دياناس الخادم الخاص بك. هذا هو أساسا إغراق جميع المعلومات المتعلقة معين دياناس المنطقة. هذا هو جيدة بقدر شبكة الخريطه! انك لا تريد ذلك.

ترتيب آخر هو النسخه الاعداد (مرة اخرى). اكتشاف صيغة تربط انت بالظهور ، ويمكن للعميل الاستعلام الخاص بك دياناس الخادم ، وملقمك سوف نقول لهم. ان الامر ليس كذلك جيدة.

المخاطر الرئيسية الاخرى التي تواجه دياناس البروتوكول والزام التنفيذ هي الحرمان من ser.q نائب الهجمات. دوس العديد من نقاط الضعف التي تم العثور عليها في الزام. يمنع تعطيل دياناس خدمة دياناس الاستفسارات عن الحل ، وبالتالي التوقف عن الاعتماد على العملاء دياناس القرار الخدمات (وهذا هو ، الكل تقريبا (في المسارات.

تأمين دياناس

الواضح هو مضاد لايجاد بديل لالزام بالظهور. هنا اختياراتك محدودة - اننا نعيش في الزام وحيدة. انت يمكن ان التحول الى شركة ميكروسوفت دياناس التنفيذ) التي ليست توصية) ، او تبحث عن دياناس خدمة الامن من حيث التنفيذ هو الهدف الاساسي.

البديل الوحيد القابل للتطبيق وانا على علم هو djbdns حزمة بقلم دانيال بيرنشتاين. وقد كان لهذا الاستخدام لانتاج ما يكفى ان تكون جادة في الزام المنافس. وقد صمم وكتب الامن في الاعتبار من قبل ذوي الخبرة مبرمج في كتابه مدونة آمنة. يمكنك معرفة المزيد هنا : http://cr.yp.to/djbdns.html.

اذا كنت العصا مع الزام ، وهناك بعض الاشياء يمكنك ان تفعل. أ ملخصا مفيدا للقضايا ومضاده هو متاح من http://www.acmebw.com/papers/securing.pdf. يجب عليك على الأقل يفكر جديا في ما يلي

• ولكن لا يمكن تشغيل الزام كما الجذريه. وبدلا من ذلك ، خلق مستخدم جديد ومجموعة. كما تحدد هذه القيادة - خيارات الخط عند قيامك بتنفيذ الزام.

• استخدام chroot قيادة لادارة تربط حتى تكون لديه تقييد الوصول الى نظام ملفات. Chroot فان البرنامج يتيح لك ان تحدد الدليل ان العملية سوف يعامل على النحو جذوره دليل (حالات الاختفاء القسري من قبل نواة). على الرغم من أن تفعل هذا ، انت بحاجة الى ايجاد مصغره نسخة طبق الأصل من نظام التشغيل الخاص بك لان الزام لن نكون قادرين على رؤية مهمة تشكيل نظام المكتبات والملفات. التعليمات كاملة ويمكن الاطلاع هنا : http://www.etherboy.com/dns/chrootdns.html.

• النسخه عدد من الصعب - مرمزه في الزام المدونه ، حتى اذا كان لديك شفره المصدر ، يمكنك ببساطة ازالتها او استبدالها بكلمة المزيف النسخه سخيفه او رسالة (وقد متعة). خلاف ذلك ، سيكون لديك الى التصحيح فان ثنائي قابل للتنفيذ - حظا سعيدا! النسخ الأخيرة من الزام يمكن تهيئتها لتمكين النسخه تطلب من عناوين محددة فقط.

• تهيئة لالزام ارفض المنطقة باستثناء لنقل اذن خدمة (مثل دياناس العبيد).

هذا هو مقال اضافها اندرياس شميدت
تنصل : موقعنا ليست مسؤولة عن المعلومات الواردة في هذه المادة. هذه المادة ولا يعبر باي حال عن آراء ، آراء ، والافكار او المعتقدات من المواد دليل الموظفين.

ترجمة أشعار : المادة "دياناس المخاطر والأمن" وقد ترجم تستخدم مشغل داءره الترجمة. ونحن نعتذر عن اي باخلاص اخطاء الترجمة التي وقعت. شكرا للتفاهم.

Online: 340 users browsing the articles directory