Угрозы и обеспечение защиты платформы хоста
Угрозы для платформы, на которой выполняется ПО DNS, не отличаются от угроз, с которыми сталкивается любой хост в Интернете. Рассмотрим с точки зрения сервисов DNS эти общие угрозы и их воздействие на DNS:
- Угроза Т1: ОС или ПО любого другого приложения, выполняющегося на хосте DNS, может быть уязвимо для таких атак, как переполнение буфера, в результате чего не сможет функционировать сервис разрешения имен.
- Угроза Т2: стек TCP/IP на DNS-хосте (stub resolver’е, кэширующем или авторитетном name-сервере) может являться целью для атак наводнения пакетами (flooding), в результате чего произойдет нарушение связи. Аналогом такой атаки на прикладном уровне является посылка большого количества ложных DNS-запросов для переполнения авторитетного или рекурсивного name-сервера.
- Угроза Т3: враждебно настроенный сотрудник, который имеет доступ к локальному сегменту сети (LAN), где расположен DNS, может вызвать атаку, подделывая ARP (spoofing), что разрушит поток сообщений DNS.
- Угроза Т4: конфигурационный файл (например, resolv.conf и host.conf, named.conf, root.hint и т.п. на UNIX-платформе) может быть испорчен вирусами или червями на уровне платформы или стать объектом неавторизованных модификаций при неадекватной защите на уровне файловой системы, в результате чего будет нарушено взаимодействие между хостами DNS (например, между stub resolver’ом и рекурсивным name-сервером, между рекурсивным name-сервером и авторитетным name-сервером).
Обеспечение защиты и/или уменьшению угроз для платформы хоста DNS состоит в следующем:
- использование безопасной ОС;
- безопасное конфигурирование и развертывание ОС.
