Obrona przed atakiem na DNS
- Kamil Folga,
- 07.06.2007
Pytanie: Co możemy zrobić w celu zminimalizowania podatności serwera DNS pracującego pod kontrolę Windows na atak, w czasie oczekiwania na programową poprawkę?
Pytanie: Co możemy zrobić w celu zminimalizowania podatności serwera DNS pracującego pod kontrolę Windows na atak, w czasie oczekiwania na programową poprawkę?
Odpowiedź: Powinniśmy sprawdzić, czy uruchomiona usługa serwera Windows DNS jest skonfigurowana do akceptacji zapytań zdalnego wykonania procedur (Remote Procedure Call) i wyłączyć taką możliwość. Instytut SANS podał do wiadomości, że nowa wariacja robaka Rinbot aktywnie skanuje port 1025 RPC/DNS w celu identyfikacji celu ataku, który umożliwi wykorzystanie zagrożenia związanego z DNS RPC. Microsoft rekomenduje wyłączenie zdalnego zarządzania przez RPC dla serwerów DNS poprzez modyfikację wpisów rejestru, blokując niepożądany ruch przychodzący na port 1025-5000 przy użyciu zapory ogniowej oraz włączając zaawansowaną filtrację TCP/IP. Alternatywę w stosunku do serwera Microsoft DNS stanowi najnowsza wersja BIND 9.4 (Berkeley Internet Name Domain) tworzona przez Internet Software Consortium (http://www.isc.org ). Windows jest oficjalnie wspierany w najnowszej wersji BIND. Istnieje skompilowana binarna wersja dostępna do pobrania ze stronyhttp://www.isc.org . BIND obsługuje wszystkie typy rekordów wymagane przez Windows, a także usprawnia pracę usługi DNS, w rezultacie zwiększając ogólną sieciową wydajność.