Jakie są główne problemy wdrożeń serwerów DNS?

DNS (Domain Name System) jest metodą powiązania nazw domen z adresami IP. System DNS to ustabilizowana technologia, która w większości przypadków pracuje bezproblemowo. Nadal pojawiają się jednak problemy, które uniemożliwiają poprawną pracę serwerów nazw. Większość z nich wynika z błędnej konfiguracji serwera. Przedstawiamy siedem głównych problemów, dotykających serwery DNS.

1. Użycie starej wersji BIND - Większość ostatnich wersji BIND 9 posiada poważne błędy, które są omawiane na forach internetowych. Atakujący może wykorzystać błędy, unieruchamiając serwery nazw lub włamując się do serwera, na którym uruchomiona jest ta usługa.

2. Umieszczenie wszystkich autorytatywnych serwerów nazw w tej samej podsieci - Błąd jednego z urządzeń (przykładowo rutera lub przełącznika) lub połączenia, uniemożliwia dostęp do serwerów nazw, obsługujących daną strefę. Może to uniemożliwić dostęp do strony internetowej lub unieruchomić komunikację przez pocztę elektroniczną dla użytkowników od strony internetu.

3. Zezwolenie na nieautoryzowane zapytania rekursywne - Przeprowadzanie rekursywnego zapytania dla dowolnego klienta, naraża serwer nazw na ataki DoS oraz ataki zatruwania bufora.

4. Zezwolenie na transfer stref do nieautoryzowanego zapasowego serwera nazw - Udostępniając transfer stref dla każdego pytającego, możemy unieruchomić serwer nazw lub narazić go na atak.

5. Błędnie używana opcja "forwarders" (przekazywania zapytań) - Wiele specyfikacji serwerów nazw - włączając w to Microsoft DNS Server oraz starsze wersje BIND - nie chroni przeciw atakom zatruwania bufora oraz innym zagrożeniom, które mogą być wywołane przez sfałszowane zapytanie.

6. Ustawienia rekordu SOA (Start of Authority) na złą wartość - Większość administratorów ustawia wygasanie ich stref na zbyt niską wartość, która może prowadzić do błędów w przypadku zapytań odświeżających lub błędów transferu strefy. Częstym błędem jest także złe ustawienie wartości TTL, która powinna być zgodna z wartością zdefiniowaną w RFC2308.

7. Pomieszane rekordy NS w delegacji i danych strefy - Niektórzy administratorzy dodają lub usuwają autorytatywne serwery nazw, zapominając o wprowadzeniu zmian w delegacjach stref u rejestratora domeny. Po takiej zmianie, a następnie poprawieniu konfiguracji, mija trochę czasu zanim serwery zaczną poprawnie rozwiązywać nazwy w tej strefie.

***

Artykuł powstał na podstawie informacji zamieszczonych w NetworkWorld.

Kamil Folga

POPULARNE
NAJNOWSZE