ЛАТ | ЋИР | ЕНГ
ПРИЈАВА ИНЦИДЕНТА
ПРИЈАВА ИНЦИДЕНТА

Заштита DNS-а за почетнике

Заштита DNS-a

DNS сервис је једини централизован и хијерархијски организован сервис на Интернету. Уз то, DNS сервис се од свог настанка веома мало мењао и стога је разумљиво да DNS сервери, због свог значаја, представљају сталну мету злонамерних корисника Интернета. Циљеви нападача могу бити различити, од политичких и верских до материјалних, или једноставно деструктивних. Обзиром да већину корисника не занимају технички детаљи рада DNS-а, овом сервису није посвећена довољна едијска пажња и едукација корисника о његовом значају, а како се у последње време показало, и на његове слабости које отварају нове могућности за злонамерно деловање на Интернету. Чак и многи рачунарски образовани корисници, па и систем администратори, сматрају DNS једноставним и досадним и не посвећују му довољно пажње коју, због свог значаја за функционисање Интернета, с правом заслужује.

Лоше конфигурисани и необезбеђени DNS могу бити искоришћени на различите начине, било као директни циљеви напада или као средство за напад на друге рачунарске системе било где у свету.

Како заштити себе и друге

Већина корисника не разуме DNS, пре свега, јер им није ни потребно да разумеју како ради да би користили Интернет. DNS једноставно функционише! И баш зато што DNS „једноставно функционише“, нико му не посвећује пажњу коју DNS , као један од основних сервиса на Интернету заслужује. Ако на пример неки од Интернет сервиса (веб, мејл, FTP…) не ради, има за последицу недоступност тог сервиса. Са друге стране, ако DNS сервис стане, све остало ће стати. Осим тога, неадекватна конфигурација DNS сервиса може да угрози друге кориснике Интернета.

Због свега тога треба:
Редовно проверавати DNS рекорде у родитељској зони

Нико није имун на грешке или нападе злонамерних корисника, па ни оператери root зоне, TLD оператери или Интернет провајдери. Због тога је неопходно редовно проверавати исправност DNS записа у родитељској зони (хијерархијски виша DNS зона која садржи податке о вашим DNS серверима).

Такође је веома битно водити рачуна о истеку валидности домена. Подаци за домен који је истекао се не налазе у зони DNS оператера код кога је домен регистрован, и самим тим упити за такав домен неће бити разрешавани. То за последицу има недоступност сервиса, али може бити искоришћено и за злонамерне активности.

Редовно ажурирати софтвера (инсталација нових верзија DNS сервера и надградњи)

Злонамерни корисници проналазе нове начине за злоупотребу. Због тога је важно стално пратити и имплементирати све допуне (печеве) и нове верзије софтвера које у себи садрже решења за безбедносне пропусте који су у међувремену откривени.

Омогућити разрешавање DNS упита само за кориснике вашег система

DNS open resolver је DNS сервер који дозвољава свим клијентима, па и онима који нису део његовог административног домена да користе тај сервер за слање DNS упита и добијање одговора од њега и за зоне за које тај сервер није ауторитативан. Обезбедите свој сервер и омогућите разрешавање неауторитативних одговора само групи корисника којој је тај сервер намењен.

Активирати „Response Rate Limiting“ (RRL) на ауторитативним серверима

Задатак DNS сервера је да одговоре за зоне за које су ауторитативни пружају свима. Због тога и они могу бити искоришћени за DDoS и DRDoS нападе на рачунаре и системе других корисника. „Response Rate Limiting“ (RRL) омогућава ограничење броја одговора које DNS сервер шаље. Критеријуми за ограничење могу бити različiti (po IP адреси, типу упита, броју истих одговора…). Активирањем RRL-а ваш сервер постаје мање атрактиван за нападе на друге системе.

Забранити саобраћај адресама које нису део вашег система (SAV –Source Address Validation)

Слање DNS упита са лажном IP адресом не угрожава само ваш DNS сервис, већ може нанети огромну штету корисницима ка којима је одговор вашег DNS сервера преусмерен. Контролом саобраћаја, тј. Филтрирањем IP адреса које нису део вашег система повећавате општу безбедност на Интернету.

Валидирати DNSSEC

Криптовање података је веома битно за повећање безбедности и поузданости DNS-а. Потписивање зоне је само један од корака за постизање жељеног нивоа поузданости DNS система. Да би сигурност DNS сервиса била потпуна, неопходно је да и сви ресолвери imaju aktiviranu проверу дигиталног потписа за податке које добијају од DNS сервера који су ауторитативни за дигитално потписане зоне.

РНИДС - ЦЕРТ
  • Жоржа Клемансоа 18а/I,
    Београд, Србија
  • РНИДС
ПРОЈЕКТИ
Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem
О НАМА
RNIDS CERT je osnovan sa idejom da bude prva tačka za kontakt u slučaju zloupotrebe .rs i .srb domena. Ukoliko primetite bilo kakvu zloupotrebu na nekom .rs ili .srb domenu, pozovite nas i mi ćemo se potruditi da problem rešimo u najkraćem roku, kako bismo sprečili veću štetu njegovim korisnicima i drugim povezanim sistemima na internetu.
Прочитај више
@RNIDS 2025. Sva prava zadržana.
Design by liveskolawp.rs