1. BIND
2. DJBDNS

Однією з особливостей служби DNS є можливість використання декількох комп'ютерів для обслуговування DNS-запитів. Це дозволяє уникнути залежності від безвідмовної роботи єдиної машини. Тому, поряд з єдиним первинним DNS-сервером, для домену створюють один або кілька вторинних DNS-серверів, кожен з яких повинен отримувати повну інформацію про зону і періодично оновлювати її при виникненні будь-яких змін. Процес передачі даних первинним сервером для оновлення бази даних вторинного сервера називають переносом зони.

Для створення на комп'ютері вторинного DNS-сервера в файл named.conf необхідно додати такі рядки:

zone «example.com» {
type slave; file «slave / example.com»;
masters {172.20.10.28; 172.20.228.19; };
};

Проблема полягає в тому, що хакер теж може здійснити перенесення даних всієї DNS-зони (якщо не вжити заходів протидії) навіть без запуску BIND. Розглянемо приклад того, як за допомогою команди host можна отримати дані всіх записів NS, А і PTR цілого домену:

machine $ host -t ns example.com
example.com name server ns1.example.com
example.com name server ns2.example.com

machine $ host -l example.сom ns1.example.com
example.com name server nsl.example.com
example.com name server ns2.example.com
www.example.com has address 172.26.105.20
mailhost.example.com has address 172.26.105.31
mailbackup.example.com has address 172.26.105.20
172-26-105-31.example.com domain name pointer mailhost.example.com
db.example.com has address 172.26.105.21
anonftp.example.com has address 172.26.105.22

Команда host при використанні опції -l дозволяє виконати повне перенесення зони, тобто в будь-який час можна буде переглянути додаткову інформацію, наприклад, за допомогою опції -t any. Застосування опції -v дозволяє отримати інформацію в форматі конфігураційного файлу первинного DNS-сервера точно так же, як якщо б перенесення зони здійснювався за допомогою BIND.

Для вторинних DNS-серверів можливість перенесення зони є необхідною для виконання оновлень їх баз даних. Але для всіх інших комп'ютерів операція перенесення зони повинна бути заборонена, так як це дозволить хакеру без особливих зусиль отримати список всіх комп'ютерів, зареєстрованих в базі даних DNS, тобто всіх машин, підключених до Internet. Навіть якщо була встановлена ​​захист від зондування за допомогою утиліти ping , То надання хакеру можливості перенесення зони зведе нанівець всі зусилля по захисту інформації про працюючих комп'ютерах.

Для протидії несанкціонованому переносу зони необхідно встановити сервера імен, яка дозволить виконувати перенесення зони тільки вторинним DNS-cepверам.

BIND

Обмеження кількості вторинних DNS-серверів, для яких перенесення зони буде дозволений, може бути здійснено завдяки вказівкою їх IP-адрес в запису options (де перераховуються опції, що впливають на роботу всього сервера) або за допомогою опції allow-transfer в запису zone (визначальною особливості конкретної зони) конфігураційного файлу (named.conf):

options {
...
allow-transfer {172.16.10.192; };
...
}

zone "example.com" {
type master;
file «master / example.com»;
allow-transfer {192.168.14.20; 192.168.80.29; };
};

zone «example.org» {
file «master / example.com»};

zone «example.net» {
masters {10.14.102.18; };
file «slave / example.net»;
allow-transfer {none; };
}

У наведеному вище лістингу для домену example.org перенесення зони дозволений тільки хосту з IP-адресою 172.16.10.192 (завдяки вказівкою в глобальній записи options), перенесення зони для домену example.com дозволений комп'ютерів з IP-адресами 192.168.14.20 і 192.168.80.29 , і повністю заборонений процес перенесення зони в домені example.net.

Переконайтеся, що перенесення зони обмежений як на первинному, так і на вторинних DNS-серверах! Хоча це і може здатися не зовсім логічним, але при відсутності відповідних обмежень навіть вторинний сервер може використовуватися для перенесення зони.

Будь-які спроби несанкціонованого перенесення зони реєструються за допомогою syslog. У системному журналі їм відповідають приблизно такі записи:

named [102]: unapproved AXFR from [192.168.1.34] .61655 for «example.org» (acl)
named [102]: unapproved AXFR from [10.182.18.23] .62028 for «example.com» (acl)
named [102]: unapproved AXFR from [192.168.1.35] .61659 for «example.net» (acl)

Нерідко подібні записи в журналі просто нагадують про існування вторинних DNS-серверів, які були невірно налаштовані системним адміністратором (виправити ситуацію потрібно якомога швидше, так як після втрати можливості поновлення баз даних ці вторинні DNS-сервери використовують застарілу інформацію). Але частіше ці записи свідчать про спроби хакерів отримати список працюючих комп'ютерів даного домену.

Простий заборона перенесення DNS-зони ще не означає, що хакеру не вдасться визначити імена вузлів локальної мережі. Наприклад, якщо буде відомо (хоча б з заголовка поштового повідомлення) про наявність хоста з ім'ям larry, то хакер може спробувати знайти хости з іменами katty і curly. Оскільки в світі комп'ютерів часто дотримуються стійкі традиції призначення імен хостам однієї мережі, то присутність певного імені комп'ютера може означати наявність інших імен. Більш детальну інформацію про правила призначення імен хостів можна отримати, звернувшись до документів RFC +1778 і 2100.

DJBDNS

При використанні DJBDNS замість BIND небезпека несанкціонованого перенесення зон виникає тільки при установці програми axfrdns. Ця програма необхідна тільки для здійснення переносу зони по протоколу TCP, коли BIND-cepвери використовуються в якості вторинних DNS-серверів. Коли системний адміністратор сам керує всіма DNS-серверами, йому потрібно просто використовувати утиліту rsync або scp для автоматичної синхронізації інформації зони DNS за допомогою копіювання файлів / etc / tinydns / root / data і /etc/tinydns/root/data.cbd на вторинні DNS сервери.
Якщо використання axfrdns все ж необхідно, то у файлі конфігурації tcp в кореневому каталозі axfrdns (як правило, це / etc / axfrdns /) потрібно вказати, які комп'ютери отримають можливість здійснювати перенесення зони. Кожен рядок цього файлу починається з IP-адреси, після якого слідує двокрапка, а потім слово deny (заборонити) або allow (дозволити). Всі комп'ютери, для IP-адрес яких зазначено слово allow, матимуть доступ до всіх DNS-записів первинного сервера імен. Можна вказувати діапазон IP-адрес. Найважливіше, що в кінці рядка можна додавати список зон, які будуть доступні для комп'ютера з цим IP-адресою. Таким чином, файл / etc / axfrdns / tcp може містити наступні рядки:

172.18.10.10: allow
172.18.10.5: deny
172.18.10.1-20: allow, AXFR = »example.com/example.org»
172.18.10. : Allow, AXFR = "example. com »

У цьому випадку комп'ютер 172.18.10.10 має необмежені правами на перенесення будь-якої зони, комп'ютера 172.18.10.5 перенесення зон заборонений повністю, комп'ютерів діапазону адрес 172.18.10.1-20 дозволяється перенесення зон example.com і example.org, а всім іншим комп'ютерам мережі 172.16. 10 дозволений перенесення однієї зони example.com.

Для файлу / etc / axfrdns / tcp доступні і інші параметри, але вони, як правило, не приносять користі для утиліти axfrdns. Більш детальну інформацію можна отримати на man-сторінці tcprules.

Додати коментар