dnsは、ドメインネームシステムです。 それはudpのプロトコルをベースにして聞くとtcpを53ポートします。 tcp接続のためには、よく使用されるゾーン転送します。
試合は、 dns ipアドレスをホスト名(ホスト名とipアドレス)します。 dnsサーバの責任者、または権威、団体名を与えられたドメインネームシステム(たとえば、 mybitofthenet.com )します。
クライアントのリクエストを行うときには、 dnsサーバーと連絡をとりたいだけで、かれらがシステムの完全修飾ホスト名(たとえば、 myserver.mybitofthenet.com )します。
dnsでは、ネットワークインフラの重要な部分です。 -行政の失敗をするかどうかや、サービス拒否の無能力の主要な結果をもたらすことが可能です。
|
|
dnsプロトコルは、セキュリティの問題があります。 dnsとの詳細な説明をすることができ、プロトコルの弱点見つかりhttp://www.geocities.com/compsec101/papers/dnssec/dnssec.htmlます。 dnsが定義され、いくつかの詳細についてはhttp://www.dns.net/dnsrd/rfc/のrfc -を参照してくださいました。
限りunixのホストのセキュリティが、最も広く使われてdnsサーバーソフトウェアは、バインド(バークレーインターネット名前デーモン)は、インターネットで開発されたソフトウェアコンソーシアム( iscの)します。 デフォルトでは、バインドデーモン"名前"を実行すると、 root権限で、これが重要なことを完全に投げ捨ててしまうことはありません後に結合を53ポートします。 したがって、脆弱性が結果にバインドする完全なシステムを妥協することができます。
見てみましょうトラックの記録にバインドします。
リリース8.2.3がリリースされ2001年1月を修正するセキュリティの脆弱性が発見された4つの隠密ラボ( pgpセキュリティー)とクラウディオmusmarraます。 2つのバッファオーバーフロー攻撃者は、リモートで任意のコードを実行するいかなるます。 入力検証エラーが発生し、攻撃者により任意のコードを実行すると、情報漏えいにより、スタックされたデータを、攻撃者に表示されます。 この最後の1つに見えるかもしれませんので悪い。 結局のところ、妥協することはできませ直接的なルートを待っているが、これは、実際にアシストの開発に、特定のサイトに対して攻撃します。 スタックローカル変数を保持し、環境変数、およびアドレスの重要なプロセスです。 これらのアクセスを獲得され、バッファオーバーフローを書き込むことができずに試行錯誤します。 これは重要なことがよくあるため、バッファオーバーフロー攻撃の場合はワンショットを取得することでも少し間違っている場合、現在のサービスをクラッシュされる可能性雑記スタック上のすべてのデータに依存したプログラムに続いています。
バインドてきた12セキュリティアドバイザリからの証明書で、わずか4年間のほとんどを支持するbindのセキュリティ!
主な要因は、複雑なコードをバインドします。 経験を積んだcプログラマのコメントは、非常に困難なことを理解するコードをバインドします。 プログラマ成し遂げたときに何が起こっているの闘争を理解することができていることを確認セキュリティの問題があります。 複雑なコードを監査するのは難しい-モジュラーデザインの最良の仕事は、小規模で、離散プログラム(ことが容易に監査)特権操作を実行します。 もちろん、 iscの開発ませんでした何かを書こうとしても彼らを見つけるのハードを維持するのは困難だ結果、機能します。 たぶんそれが理由の1つは、最近のiscの主要な部分を全面的に書き直しバインドします。
2001年1月には、主要なリリースを発表しましたiscの新しいバージョンをbindバージョン9.1.0です。 このバージョンのサポートが含まれdnssec -克服するプロトコルを拡張していくつかのセキュリティ設計の弱点は、株式dnsプロトコル( dnssecが定義さはrfc 2535 ) 。特に、コードのモジュールで構成されなかったので、私たちは今はまだ新しいコードしてハードを監査します。 多くのサイトでは、実行中の可能性を続行するにバインド8 、少なくとも短期的にします。
ということが分かるような攻撃の侵入をバインドするサーバーでは、そんなにので、パッチを当ててsansレートバインドサーバーの数を1つとして、インターネット上で、セキュリティ上の問題です。 手口豊富であるためにバインドします。 dnsサーバーはおいしいターゲットにするため、その後の多くは、インターネットに頼っています。 バインドを制御するサーバー、本当に意地の悪いことを行うことができます。例えば:
スポンジを奪うに変更することにより、サイトのトラフィックのip /名前は存在しないアドレスをマッピングします。 さらに悪いことに、リダイレクトすることができ、ポルノまたは競合他社のサイトにトラフィックを誘導します。 失われた収益を押していないと悪い会社の株価の助けにします。
スポンジクローンするe -ビジネスのサイトを修正し、サイトのdnsサーバーをかたりお客様のサイトマップ、およびクレジットカードの情報を収集し、ユーザーアカウント、およびパスワードを参照してください。
搾取スポンジの間に信頼関係をマッピングされるシステムのipからの片側の信頼関係を、お使いのマシンです。
スポンジ妥協のルートネームサーバーの1つです。
最後の1つは、特に心配しています。 ルートネームサーバーは、インターネット上での出発点としてアドレッシングします。 そこでは、わずか13のルートネームサーバーの合計(プロトコルの制限のため)します。 ルートネームサーバーを引き継ぐ、とすることができ、インターネットを手にします。 余談としては、プラットフォームの選択とオペレーティングシステムは、これらのマシンのセキュリティの原則を次のように多様性を介しています。 を引用から2000年の声明をicannの(公社のために割り当てられた、インターネットの名前や数字)のサイト:
すべてのルートサーバーを使用して、いくつかの変種は、 unixオペレーティングシステム、しかし、ハードウェアの両方をベースとしてvendors'unix変種は比較的多様性:の13のルートサーバーでは、 7さまざまなハードウェアプラットフォームを実行する8さまざまなオペレーティングシステムのバージョンからの5種類ベンダーます。
これは、健全な自然の中に使われたアイデアを母なる自然つぶやきました。 もちろん、これは分解していない場合は十分に手を安全に管理する管理者の多様な8つの異なるオペレーティングシステムを使用します。
セキュリティ上の欠陥はさておき、 misconfigurationは共通点がある。 サイジングする際にお客様のサイトには、攻撃者がリクエストしてdnsサーバーからゾーン転送します。 このダンプは、基本的に、すべての人に関する情報を、特定のdnsゾーンします。 これは、ネットワークマップてもいいくらいだ! このたくはありませんします。
バージョン番号は、別の設定(再び)します。 bindのバージョンを発見し実行していることができ、クライアントのクエリdnsサーバーして、お客様のサーバーは争えないとしています。 これはあまりよくありませんします。
他の主要なリスクに直面してdnsプロトコルとバインド実装副serの攻撃は拒否します。 dosの多数の脆弱性が発見されてバインドします。 無効化を防ぐことにdns dnsサーバーからのクエリが解決した場合、それに頼ってクライアントを停止する決議案では、 dnsサービス(つまり、ほとんどの人)は、トラックです。
明白なのは、対策を見つけるの代わりにbindを実行します。 ここでは、お客様の選択肢が限定されて、私たちが住む単作バインドします。 に切り替えることができdnsのマイクロソフトの実装(ではないことを勧告する) 、またはどこを探しdnsサーバのセキュリティ実装の主な目的だったします。
のみ実行可能な代替案は、私は知ってdjbdnsのパッケージダニエルバーンスタインされました。 これは生産量は十分に使用される深刻な競争をバインドします。 だったと書かれ、セキュリティを念頭に置いて設計された経験があるプログラマを確保するコードを書きました。 ここで見つけることができしてください: http://cr.yp.to/djbdns.htmlます。
スティックをバインドする場合は、いくつかのことができません。 有用な対策の概要が問題とはhttp://www.acmebw.com/papers/securing.pdfから入手できます。 必要があり、少なくとも、次のを本気で考える
rootとして実行していないスポンジにバインドします。 その代わりに、ユーザーとグループを新規作成します。 これらのコマンドラインオプションとして指定したときにバインドを実行します。
スポンジを使用してバインドするので、 chrootコマンドを実行することがファイルシステムのアクセスを制限しています。 chrootのプログラムを有効にするかを指定しているディレクトリとして扱うプロセスはルートディレクトリ(カーネルを強制されます) 。 これを行うにはかかわらず、 miniの重複を作成する必要があり、お客様のオペレーティングシステムのためにバインドできるようにはなりません重要なシステムライブラリおよび設定ファイルを参照してくださいました。 完全な手順はこちらをご覧ください: http://www.etherboy.com/dns/chrootdns.htmlます。
スポンジで、バージョン番号がハードコードでのコードにバインドので、ソースコードをお持ちの場合は、削除したりすることができ単純に置き換えることができ、偽のバージョンまたはばかげたメッセージ(楽しく)します。 そうしないと、バイナリパッチをしていただく必要があり実行-幸運! bindの最近のバージョンを有効に設定することもできバージョンを特定のアドレスからのリクエストのみです。
スポンジゾーン転送を禁止する設定にバインド以外に認可サーバー( dnsの奴隷のような)します。
|
|