Минимум  усилий на защиту DNS

Сергей Ропчан

По статистике (некоторых security teams) из 100 % серверов – 63% работает с неправильно настроенной службой DNS, в контексте сетевой безопасности, конечно. Узнав столь печальную статистику, я решил провести свой собственный анализ.

И вот что у меня вышло – из 100 серверов, выбранных мною наугад из различных сегментов Интернета, 57 серверов оказались с неправильно настроенной службой имен.

Под словом «неправильно» я подразумеваю, например, получение файла пересылки (transfer) зоны (эта информация является наиболее важной в аспекте безопасности DNS), на основе которого, как известно, можно построить схему внутренней сети исследуемой системы, так как мы получаем полную информацию о инфраструктуре внутренней сети (имена хостов, IP -адреса, почтовые сервера, вышестоящие сервера имен, псевдонимы хостов и т. д.). Вот наглядный пример: выбираем цель, например, www.target.ru; как известно, для работы с DNS подходит nslookup, которая входит в состав большинства ОС. Итак:

fenix# nslookup

Nameserver 192.145.45.1

>server www.target.com

>ls -d target.com

и если в ответ мы получаем что-то похожее на:

[main.target.com]

$ORIGIN   target.com.

@            1D      IN      SOA      ns root (

                            2001081109      ;serial

                            8H            ;refresh

                            2H            ;retry

                            1W            ;expiry

                            1D )            ;minimum     

          1D      IN      NS      ns

          1D      IN      NS      r1.ns.net.

          1D      IN      NS      r2.ns.com.

          1D      IN      MX      20 m1.ns.net

          1D      IN      MX      10 m2.ns.com

          1D      IN      MX      10 main

c4            1D      IN      A      192.5.62.78

admin            1D      IN      A      192.5.62.74