LAT | ĆIR | ENG
PRIJAVA INCIDENTA
PRIJAVA INCIDENTA

Zaštita DNS-a za početnike

Zaštita DNS-a

DNS servis je jedini centralizovan i hijerarhijski organizovan servis na Internetu. Uz to, DNS servis se od svog nastanka veoma malo menjao i stoga je razumljivo da DNS serveri, zbog svog značaja, predstavljaju stalnu metu zlonamernih korisnika Interneta. Ciljevi napadača mogu biti različiti, od političkih i verskih do materijalnih, ili jednostavno destruktivnih. Obzirom da većinu korisnika ne zanimaju tehnički detalji rada DNS-a, ovom servisu nije posvećena dovoljna edijska pažnja i edukacija korisnika o njegovom značaju, a kako se u poslednje vreme pokazalo, i na njegove slabosti koje otvaraju nove mogućnosti za zlonamerno delovanje na Internetu. Čak i mnogi računarski obrazovani korisnici, pa i sistem administratori, smatraju DNS jednostavnim i dosadnim i ne posvećuju mu dovoljno pažnje koju, zbog svog značaja za funkcionisanje Interneta, s pravom zaslužuje.

Loše konfigurisani i neobezbeđeni DNS mogu biti iskorišćeni na različite načine, bilo kao direktni ciljevi napada ili kao sredstvo za napad na druge računarske sisteme bilo gde u svetu.

Kako zaštiti sebe i druge

Većina korisnika ne razume DNS, pre svega, jer im nije ni potrebno da razumeju kako radi da bi koristili Internet. DNS jednostavno funkcioniše! I baš zato što DNS „jednostavno funkcioniše“, niko mu ne posvećuje pažnju koju DNS , kao jedan od osnovnih servisa na Internetu zaslužuje. Ako na primer neki od Internet servisa (veb, mejl, FTP…) ne radi, ima za posledicu nedostupnost tog servisa. Sa druge strane, ako DNS servis stane, sve ostalo će stati. Osim toga, neadekvatna konfiguracija DNS servisa može da ugrozi druge korisnike Interneta.

Zbog svega toga treba:
Redovno proveravati DNS rekorde u roditeljskoj zoni

Niko nije imun na greške ili napade zlonamernih korisnika, pa ni operateri root zone, TLD operateri ili Internet provajderi. Zbog toga je neophodno redovno proveravati ispravnost DNS zapisa u roditeljskoj zoni (hijerarhijski viša DNS zona koja sadrži podatke o vašim DNS serverima).

Takođe je veoma bitno voditi računa o isteku validnosti domena. Podaci za domen koji je istekao se ne nalaze u zoni DNS operatera kod koga je domen registrovan, i samim tim upiti za takav domen neće biti razrešavani. To za posledicu ima nedostupnost servisa, ali može biti iskorišćeno i za zlonamerne aktivnosti.

Redovno ažurirati softvera (instalacija novih verzija DNS servera i nadgradnji)

Zlonamerni korisnici pronalaze nove načine za zloupotrebu. Zbog toga je važno stalno pratiti i implementirati sve dopune (pečeve) i nove verzije softvera koje u sebi sadrže rešenja za bezbednosne propuste koji su u međuvremenu otkriveni.

Omogućiti razrešavanje DNS upita samo za korisnike vašeg sistema

DNS open resolver je DNS server koji dozvoljava svim klijentima, pa i onima koji nisu deo njegovog administrativnog domena da koriste taj server za slanje DNS upita i dobijanje odgovora od njega i za zone za koje taj server nije autoritativan. Obezbedite svoj server i omogućite razrešavanje neautoritativnih odgovora samo grupi korisnika kojoj je taj server namenjen.

Aktivirati „Response Rate Limiting“ (RRL) na autoritativnim serverima

Zadatak DNS servera je da odgovore za zone za koje su autoritativni pružaju svima. Zbog toga i oni mogu biti iskorišćeni za DDoS i DRDoS napade na računare i sisteme drugih korisnika. „Response Rate Limiting“ (RRL) omogućava ograničenje broja odgovora koje DNS server šalje. Kriterijumi za ograničenje mogu biti različiti (po IP adresi, tipu upita, broju istih odgovora…). Aktiviranjem RRL-a vaš server postaje manje atraktivan za napade na druge sisteme.

Zabraniti saobraćaj adresama koje nisu deo vašeg sistema (SAV –Source Address Validation)

Slanje DNS upita sa lažnom IP adresom ne ugrožava samo vaš DNS servis, već može naneti ogromnu štetu korisnicima ka kojima je odgovor vašeg DNS servera preusmeren. Kontrolom saobraćaja, tj. Filtriranjem IP adresa koje nisu deo vašeg sistema povećavate opštu bezbednost na Internetu.

Validirati DNSSEC

Kriptovanje podataka je veoma bitno za povećanje bezbednosti i pouzdanosti DNS-a. Potpisivanje zone je samo jedan od koraka za postizanje željenog nivoa pouzdanosti DNS sistema. Da bi sigurnost DNS servisa bila potpuna, neophodno je da i svi resolveri imaju aktiviranu proveru digitalnog potpisa za podatke koje dobijaju od DNS servera koji su autoritativni za digitalno potpisane zone.

RNIDS - CERT
  • Žorža Klemansoa 18a/I,
    Beograd, Srbija
  • RNIDS
PROJEKTI
Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem
O NAMA
RNIDS CERT je osnovan sa idejom da bude prva tačka za kontakt u slučaju zloupotrebe .rs i .srb domena. Ukoliko primetite bilo kakvu zloupotrebu na nekom .rs ili .srb domenu, pozovite nas i mi ćemo se potruditi da problem rešimo u najkraćem roku, kako bismo sprečili veću štetu njegovim korisnicima i drugim povezanim sistemima na internetu.
Pročitaj više
@RNIDS 2025. Sva prava zadržana.
Design by liveskolawp.rs