CASINOJOY - Ставка На Успех! Проверь Свою Удачу!


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Защита DNS подключений с помощью Windows Server 2008 R2 DNSSEC
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Защита DNS подключений с помощью Windows Server 2008 R2 DNSSEC

07.08.2010

Введение

По причинам все большего распространения протокола IP версии 6, доступ к компьютерам через DNS имена станет еще более важным. Хотя те из нас, кто работает с IPv4 долгие годы, знают, что довольно просто запоминать большое количество IPv4 адресов, использующих четыре набора цифр, разделенных запятыми в системе IP адресов, проблема в том, что адресное пространство IPv6 настолько большое, а шестнадцатеричная система счисления настолько сложна, что лишь небольшое количество человек, сможет запомнить IP адреса более одного компьютера в своей сети. Так или иначе, каждый IPv6 адрес составляет 128 битов в длину – в четыре раза длиннее IPv4 адреса. Это и обеспечивает большее адресное пространство, позволяющее размещать большее количество узлов в интернете, но также и усложняющее нам задачу запоминания адресов.
Проблема: небезопасная природа базы DNS

Учитывая, что уровень зависимости от DNS будет повышаться, нам потребуется способ обеспечения точности и надежности записей базы данных DNS – и одним из самых эффективных способов добиться этого является обеспечение безопасности баз данных DNS. До недавнего времени DNS была относительно незащищенной системой, при этом большая часть безопасности строилась на основном уровне доверия.

В силу этой небезопасной природы есть множество моментов, в которых основной уровень доверия нарушался и DNS серверы взламывались (перенаправляя DNS имена на ложные DNS серверы), DNS записи подделывались, а DNS кэш отравлялся, что приводило к тому, что пользователи верили, что они подключены к законным сайтам, в то время как, на самом деле, они перенаправлялись на сайты, содержавшие вредоносный контент или собиравшие их личные данные с помощью атак pharming. Атаки под названием Pharming схожи с атаками фишинга (phishing), за исключением того, что вместо перехода по ссылке в электронном сообщении пользователи посещали сайты самостоятельно, используя правильный URL адрес реального сайта, думая, что им ничего не угрожает. Но записи DNS изменялись для перенаправления реального URL адреса на поддельный сайт (pharming site).
Решение: Windows Server 2008 R2 DNSSEC

Одним из решений, которые вы можете использовать в своей интрасети для защиты DNS среды, является использование продукта Windows Server 2008 R2 DNSSEC. DNSSEC представляет собой собрание расширений, которые повышают надежность DNS протоколов. Эти расширения добавляют авторизацию происхождения, цельность данных и отрицание существования при проверке подлинности для DNS. Это решение также добавляет ряд новых записей в DNS, включая DNSKEY, RRSIGN, NSEC и DS.
Как работает DNSSEC

DNSSEC позволяет всем записям в базе DNS получать подписи, подобно тому методу, который используется для других электронных коммуникаций с цифровой подписью, например электронная почта. Когда DNS клиент посылает запрос на DNS сервер, сервер возвращает цифровые подписи возвращаемых записей. Клиент, имеющий открытый ключ ЦС, подписавшего DNS записи, затем имеет возможность расшифровать хэш-значение (подпись) и проверить ответы. Для этого DNS клиент и сервер настраивается на использование одного якоря доверия (trust anchor). Якорь доверия представляет собой предварительно настроенный открытый ключ, связанный с определенной зоной DNS.

Подпись баз данных DNS доступна для файловых (не интегрированных в Active Directory) и интегрированных в Active Directory зон, а репликация доступна для других DNS серверов, которые являются авторитетными для сомнительных зон.

Windows 2008 R2 и Windows 7 DNS клиенты настроены, по умолчанию, в качестве не проверяющих распознавателей заглушек с поддержкой безопасности (non-validating, security-aware, stub resolvers). При такой конфигурации DNS клиент позволяет DNS серверу выполнять проверку от своего имени, но DNS клиент способен принимать DNSSEC ответы, возвращаемые с DNS сервера DNSSEC. Сам DNS клиент настроен на использование таблицы политики разрешения имен (Name Resolution Policy Table – NRPT) для определения того, как ему взаимодействовать с DNS сервером. Например, если NRPT указывает, что DNS должен защитить соединение между DNS клиентом и сервером, то проверка подлинности сертификата должна использоваться при запросе. Если согласования режима безопасности не проходят, это является четким показателем, что имеется проблема с доверием в процессе разрешения имен, и попытка получения имени будет неудачной. По умолчанию, когда клиент возвращает ответ на DNS запрос приложению, посылавшему этот запрос, он возвращает только эту информацию, если DNS сервер проверил информацию.
Получение действительных результатов

Итак, есть два способа, используемых для обеспечения действительности результатов ваших DNS запросов. Во-первых, вам нужно убедиться, что DNS серверы, к которым подключаются ваши DNS клиенты, на самом деле являются DNS серверами, к которым вы хотите подключить своих клиентов – и что это не ложные DNS серверы, рассылающие поддельные ответы. IPsec является отличным способом идентификации DNS сервера. DNSSEC использует SSL для подтверждения того, что подключение защищено. DNS сервер проходит проверку подлинности с помощью сертификата, подписанного доверенным издателем (например закрытая PKI).

Следует помнить, что если вы внедрили IPsec сервер и изоляцию домена, вам следует исключить TCP и UDP порты 53 из политики. В противном случае политика IPsec будет использоваться вместо проверки подлинности с использованием сертификата. Это приведет к тому, что клиенты не смогут проверять сертификаты с DNS сервера и защищенное соединение не сможет быть создано.
Подписанные зоны (Signed zones)

DNSSEC также подписывает зоны, используя автономное подписание с помощью инструмента dnscmd.exe. Это приводит к созданию файла подписанных зон (signed zone file). Этот файл содержит записи RRSIG, DNSKEY, DNS и NSEC ресурсов для данной зоны. После подписания зоны ее нужно перезагрузить с помощью инструмента dnscmd.exe или консоли диспетчера DNS.

Одним ограничением подписания зон является то, что динамические обновления отключены. Windows Server 2008 R2 включает DNSSEC только для статичных зон. Зону необходимо повторно подписывать каждый раз при внесении в нее изменений, что может значительно ограничивать использование DNSSEC во многих средах.
Роль якорей доверия

Якоря доверия упоминались выше. Записи ресурса DNSKEY используются для поддержки якорей доверия. Проверяющий DNS сервер должен включать как минимум один якорь доверия. Якоря доверия также применимы к назначаемым для них зонам. Если DNS сервер содержит несколько зон, то используется несколько якорей доверия.

DNSSEC-совместимый DNS сервер выполняет проверку имени в запросе клиента, если имеется якорь доверия для этой зоны. Клиент не должен быть совместим с DNSSEC для успешного процесса проверки, поэтому DNSSEC-несовместимые DNS клиенты могут использовать этот DNS сервер для разрешения имен в интрасети.
NSEC/NSEC3

NSEC и NSEC3 представляют собой методы, которые могут использоваться для обеспечения отрицания существования при процессе проверки подлинности для DNS записей. NSEC3 – является улучшенной версией оригинальной спецификации NSEC, позволяющей предотвратить просмотр зон (‘zone walking’), который в свою очередь позволяет злоумышленникам получать все имена в DNS зоне. Это мощный инструмент, позволяющий взломщикам просматривать вашу сеть. Данная возможность недоступна в Windows Server 2008 R2, поскольку включена поддержка только для NSEC.

Однако здесь все же имеется ограниченная поддержка NSEC3:
Windows Server 2008 R2 может включать зону с NSEC, имеющую NSEC3 делегирование. Однако NSEC3 дочерние зоны не содержатся на Windows DNS серверах
Windows Server 2008 R2 может быть неавторитетным DNS сервером, настроенным с якорем доверия для зоны, которая подписана NSEC и содержит NSEC3 дочерние зоны.
Windows 7 клиенты могут использовать non-Microsoft DNS серверы для разрешения DNS имен, если этот сервер поддерживает NSEC3
Когда зона подписана NSEC, вы можете настроить таблицу политики разрешения имен так, чтобы она не требовала проверки зоны. Если сделать это, DNS сервер не будет осуществлять проверку, и будет возвращать ответ с чистым полем Active Directory
Развертывание DNSSEC

Чтобы развернуть DNSSEC, вам потребуется следующее:
Понимание ключевых концепций DNSSEC
Обновление DNS серверов до Windows Server 2008 R2
Просмотр требований к подписанию зон, выбор механизма возобновления ключа, и определение защищенных компьютеров и DNSSEC защищенных зон
Создание и резервное копирование ключей, которые подписывают ваши зоны. Подтверждение того, что DNS работает и отвечает на запросы после подписания зон
Распределение ваших якорей доверия на все неавторитетные серверы, которые будут выполнять проверку DNS с помощью DNSSEC
Развертывание сертификатов и IPsec политики на DNS сервере
Настройка NRPT параметров и развертывание IPsec политики на клиентских компьютерах

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: superhacker
Просмотров: 9210
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • WhatsApp уверяет пользователей, что Facebook не имеет доступа к и...
  • Однострочная команда в Windows 10 может повредить жесткий диск с ...
  • Кардерский форум Joker’s Stash объявил о закрытии
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Сервис Postman - 500 руб за получение писем и 10€ за пересыл...
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Взлом и безопасность / Новичкам » Re: Помогите взломать gmail.com
  • Разное / Предложения работы » Re: Зайти на сайт из под Администратора + публикация статьи
  • Взлом и безопасность / WEB сайтов » Брутс для 2fa биржи
  • Разное / Предложения работы » Нужен Взлом сайта на DLE

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}