Server pro spolehlivou ochranu dat: Nasazení bezpečných hostingových řešení
Ochrana dat v éře digitální transformace je pro úspěšné fungování a rozvoj podnikání klíčová. Rozsáhlé kybernetické hrozby vedou k miliardovým ztrátám společností po celém světě. Legislativní požadavky na ukládání a zpracování osobních údajů se neustále zpřísňují a pokuty za jejich porušení rostou.
Po instalaci a konfiguraci cache serveru DNS, pokud je server dostupný na externí (bílé) adrese, je nutné zkontrolovat, zda server odpovídá pouze na dotazy od důvěryhodných hostitelů (klientů). V případě, že server odpovídá na dotazy od všech hostitelů, nazývá se takový server DNS Open Resolver.
Existuje riziko, že by útočníci mohli použít DNS Open Resolver k různým typům útoků:
- Zatížit server náhodnými dotazy DNS a zahltit kanál přenosy. To může vést k odepření služby (DoS) a nedostupnosti služby DNS pro ostatní uživatele.
- Odesláním speciálních dotazů na server s falešnou zdrojovou IP adresou zahájíte útok na třetího hostitele, který zahrnuje váš server. DNS Open Resolver odešle odpovědi na tuto falešnou adresu, což může mít za následek velké množství síťového provozu směřujícího na oběť útoku. Tento útok se nazývá DNS Amplification.
- Nahrazení odpovědí serveru falešnými údaji, které skončí ve cache (Cache Poisoning). Když klientský počítač přistupuje k takto napadenému serveru DNS, může pro názvy domén obdržet falešné nebo škodlivé IP adresy.
Přehled
Cachingový server DNS je server, který zpracovává rekurzivní dotazy klientů.
Rekurzivní a iterativní dotazy DNS
Při přijetí rekurzivního dotazu vrátí server buď odpověď na dotaz, nebo chybovou zprávu. Server se stará o veškeré načítání dat a dotazování ostatních serverů. Při přijetí iterativního dotazu může server místo odpovědi vrátit adresu jiného serveru a klient pak tento dotaz přesměruje na zadaný server.
Jak zjistit, zda je server otevřený
Zda je server otevřen rekurzivním dotazům, můžete zkontrolovat na adrese https://openresolver.com/.
Nebo pomocí příkazů, které provádějí dotazy na systém DNS:
dig +short @XXX.XXX.XXX.XXX mysite.ru
host mysite.ru XXX.XXX.XXX.XXX
nslookup mysite.ru XXX.XXX.XXX.XXX
Místo XXX.XXX.XXX.XXX
zadejte IP adresu serveru, který má být kontrolován. V příkladu je název mysite.ru, můžete zkontrolovat libovolný.
Pokud dotaz poskytne IP adresu při dotazu z libovolného hostitele, je váš server DNS Open Resolver.
Jak zakázat nebo omezit přístup pouze na důvěryhodné hostitele/sítě
- Omezte přístup k portu serveru (udp/53) na obvodu sítě nebo lokálně na samotném serveru DNS.
- Pokud má být server zodpovědný pouze za jednu nebo několik konkrétních zón, můžete rekurzivní dotazy zakázat přidáním možnosti
“recursion no;”
do konfiguračního souboru named.conf (named.conf.local
nebo jiného, v závislosti na nastavení). - Povolit rekurzivní dotazy pouze pro důvěryhodné sítě/hostitele, například:
“allow-recursion { localhost; 10.16.0.0.0/16; };”
(10.16.0.0.0/16
— nahradit důvěryhodnými adresami).