JК
Искусство вторжения :: Митник Кевин
Страница: 178 из 415Сетевой администратор должен всячески избегать появления HINFO-записей на любом публично доступном DNS-сервере.
Еще один из хакерских приемов основан на использовании операции под названием «перенос зоны» (zone transfer). (Адриан рассказывал, что использовал этот метод в своих атаках на сайты The New York Times и excite@home, но оба раза неудачно). Для защиты данных первичный DNS обычно конфигурируется так, чтобы позволить другим авторизованным серверам копировать DNS-записи из конкретных доменов; этот процесс копирования называется переносом зоны. Если первичный сервер сконфигурирован неправильно, атакующий может запустить процесс переноса зоны на любой указанный им компьютер, и таким образом получить подробную информацию обо всех именах узлов и связанных с ними IP-адресов домена.
Для защиты от такого типа атак необходимо разрешить перенос зоны только между определенными компьютерами, это необходимо для нормального ведения бизнеса. Более подробно: первичный DNS-сервер должен быть сконфигурирован так, чтобы позволять перенос только на проверенные вторичные DNS-сервера.
Вдобавок к этому по умолчанию необходим межсетевой экран, чтобы блокировать доступ к ТСР-порту 53 на любом корпоративном сервере. Еще одно правило межсетевого экрана должно разрешать проверенным вторичным серверам имен соединяться с ТСР-портом 53 и инициировать перенос зоны.
Компании должны максимально затруднить атакующим использование т е х н и к и обратного просмотра DNS.
Еще один из хакерских приемов основан на использовании операции под названием «перенос зоны» (zone transfer). (Адриан рассказывал, что использовал этот метод в своих атаках на сайты The New York Times и excite@home, но оба раза неудачно). Для защиты данных первичный DNS обычно конфигурируется так, чтобы позволить другим авторизованным серверам копировать DNS-записи из конкретных доменов; этот процесс копирования называется переносом зоны. Если первичный сервер сконфигурирован неправильно, атакующий может запустить процесс переноса зоны на любой указанный им компьютер, и таким образом получить подробную информацию обо всех именах узлов и связанных с ними IP-адресов домена.
Для защиты от такого типа атак необходимо разрешить перенос зоны только между определенными компьютерами, это необходимо для нормального ведения бизнеса. Более подробно: первичный DNS-сервер должен быть сконфигурирован так, чтобы позволять перенос только на проверенные вторичные DNS-сервера.
Вдобавок к этому по умолчанию необходим межсетевой экран, чтобы блокировать доступ к ТСР-порту 53 на любом корпоративном сервере. Еще одно правило межсетевого экрана должно разрешать проверенным вторичным серверам имен соединяться с ТСР-портом 53 и инициировать перенос зоны.
Компании должны максимально затруднить атакующим использование т е х н и к и обратного просмотра DNS.