امنیتسرورشبکهمیم تک 23

امنیت DNS یا DNS Security چیست و چه کاربردی دارد ؟

DNS Security چیست و چه کاربردی دارد ؟

امنیت DNS یا DNS Security :

در خصوص امنیت و آسیب پذیری DNS و با توجه به اینکه این آسیب پذیری به صورت ریموت قابل اجراست، باید بسیار محتاط بود. از این رو ادمین می بایست این پروتکل را محدود به شبکه خاص کرده و در صورت امکان با توجه به ترافیک مجاز پارامترهای Max CONCURRENT;Max concurrent;Session Queries را در تنظیمات DNS بهینه نماید.

با استفاده از این امن سازی ها می تواند امنیت مطلوبی را برای خود به وجود آورند.

مشکلات امنیتی در DNS سرورها

عملکرد دی ان اس سرورها به گونه ایست که با پاسخ به تمام Queryها و Resolve کردن تمامی اعداد به جای اسامی سایت‌ها و سرویس‌ها می تواند یکی از آسیب‌پذیرترین سرویس های شبکه محسوب گردد

به همین دلیل برقراری امنیت DNS سرورها هدف سازمان ها برای مقابله با حملات امنیتی می‌باشد.

حملاتی مانند DNS DDoS می‌تواند سرور‌های دی ان اس را با انجام Flood از دسترس خارج نمایند.

یا اینکه درخواست DNS را Hijack کرده و آن را به سرور مخربی هدایت نمایند.

برای پیشگیری از این موضوع، می‌توان یک معماری دی ان اس ایمن، توزیع شده (Distributed) و دارای عملکرد بالا و قابلیت‌های DNS Offload که با شبکه یکپارچه‌سازی شده است، را استفاده نمود. سازمان‌ها سرورهای دی ان اس مختلفی دارند، هر کدام از این سرورها می توانند در ثانیه 150.000 DNS Query  پاسخ دهند.

سرورهای DNS با عملکرد بالا (High Performance) حتی می‌توانند در ثانیه به حدود 200.000 Query پاسخ دهند.

هکرهای سایبری به سادگی می‌توانند از این عددها فراتر بروند.

برای مثال می‌توان از دسترس خارج شدنِ سایت‌های New York Times، LinkedIn، Network Solutions و Twitter را نام برد.

سازمان ها برای مقابله با حملات DNS DDoS، سرورهای دی ان اس را بیشتر می کنند که عملا نیازی به آن ها نیست.

این کار پرهزینه، معمولا برای ایجاد تغییر نیاز به کانفیگ کردن دستی دارد.

به علاوه، سرور‌های دی ان اس قدیمی (به خصوص در مقابل آسیب‌پذیری‌های جدید) نیازمند Maintenance و Patching مداوم هستند.

از آنجایی که این سرور تمامی نام و آدرس IP ها را در خود جای دارد به همین دلیل امنیت آن بسیار مهم است.

در صورت بروز ناامنی در این سرویس هکرها به اطلاعات زیر دسترسی پیدا خواهند کرد که عواقب غیرقابل جبرانی را برای سازمان ها در پی خواهد داشت:

1-ساختار آدرس های IP و آدرس های IP فعال

2-آدرس های IP سرویس های حساس و حیاتی شبکه و نیز اسامی آنها

3-هدایت ترافیک شبکه به مقصدی خاص با وارد کردن اسم و آدرس های تقلبی و فیک

4-استفاده از آدرس های سایر افراد در شبکه در جهت مقاصد غیر قانونی

5-ایجاد اختلال در سرویس و یا توقف آن به منظور مختل نمودن ارتباطات شبکه

زمانی که کاربری یک صفحه‌ی وب را درخواست می کند آن درخواست به یک سرور Local DNS منتقل می‌شود که با سرور دی ان اس اصلی ارتباط برقرار می‌نماید، در این صورت همه‌چیز به درستی کار می‌کند تا وقتی که موجی از ترافیک فرا می‌رسد یا مهاجمی مدام با درخواست‌های DNS Query به سرور حمله می‌نماید. اگر سرور دی ان اس اصلی دچار بار اضافی شود، دیگر پاسخ نخواهد داد و این امر می‌تواند وب‌سایت کاربر را از دسترس مشاهده کنندگان خارج کند.

خرابی‌های DNS معمولا 41 درصد از Downtime زیرساخت وب را تشکیل می‌دهد، در نتیجه در دسترس نگه داشتن DNS در هر سازمانی امری ضروری است. بنابر نتایج یک نظرسنجی که توسط Aberdeen Group انجام شده، سازمان‌ها به ازای هر ساعت قطع بودن دیتاسنترهای خود، 138.000 دلار ضرر می‌کنند، علاوه بر آن Downtime روی مشتریان تاثیر منفی می‌گذارد و ممکن است به از دست رفتن درآمد منجر شود و حتی روی کارمندانی که سعی دارند به منابع سازمانی خود، مانند ایمیل دسترسی پیدا کنند نیز تاثیر بگذارد. به همین دلیل است که اهمیت وجود یک دی ان اس قدرتمند، به هیچ وجه نباید دست کم گرفته شود. بدون وجود آن، ممکن است مشتری نتواند به محتوا و برنامه‌های کاربردی سازمان دسترسی پیدا کند و اگر مشتریان نتوانند خواسته‌شان را از سازمان خود بگیرند، به سراغ سازمان‌های دیگر می‌روند.

امنیت در سرویس DNS شامل موارد زیر می شود:

  1. Zone file compromise
  2. Zone information leakage
  3. Compromised dynamic updates
  4. DNS client flooding(denial service_
  5. Cache poisoning

Zone در یک DNS حاوی اسامی و آدرس های IP کامپیوترهاست Resource Record ها فارغ از این که به صورت دستی در دی ان اس ثبت شده باشد می تواند اطلاعات مهمی را در اختیار هکرها قرار دهد. همچنین آگاهی از آدرس های IP فعال در شبکه نیز می تواند نفوذگر را در کار خود چند قدمی به جلو حرکت دهد. به عنوان مثال دیگر نیازی نیست Range زیادی از آدرس های IP را برای آگاهی از آدرس های فعال اسکن کند همچنین با آگاهی از آدرس های IP غیر فعال می تواند با استفاده از همان آدرس ها سرویس های تقلبی به نفع خود در شبکه راه اندازی کند.

در این مقاله به بررسی امنیت DNS یا DNS Security پرداختیم.

ارسال پاسخ