Pytanie: Używam oprogramowania BIND. Przeglądając ostatnio logi serwera, zauważyłem coraz więcej prób ataków na usługę DNS. Jak zabezpieczyć serwer DNS?

Odpowiedź: Serwery usługi DNS są narażone na coraz większe ryzyko włamań i modyfikacji. Coraz powszechniejsze stają się ataki powiązane ze zjawiskami spoofing, phishing czy pharming. Wszystkie wykorzystują słabości usługi DNS. Kilka groźniejszych ataków to:

• ataki typu odmowa usługi

• transfer strefy

• zatruwanie bufora

• przepełnienie bufora.

Warto wymienić środki zapobiegawcze przeciw atakom na usługi DNS. Podstawą bezpieczeństwa jest ograniczenie zakresu hostów, które mogą odpytywać serwer. Wszystkie porty powinny zostać zablokowane z zewnątrz (ruch z Internetu), poza możliwością komunikacji na porcie 53 UDP dla serwerów zaufanych. Nie należy zezwalać na możliwość transferu strefy przez niezaufane hosty i serwery. Warto także zabezpieczyć serwer przed możliwością odpytania o właściwą wersję oprogramowania. Uzyskanie informacji o prawidłowej wersji oprogramowania serwera DNS ułatwia atakującemu znalezienie luki i jej wykorzystanie. Koniecznie należy na bieżąco aktualizować stosowane oprogramowanie serwera oraz wprowadzać poprawki systemowe, w celu uniknięcia błędów przepełnienia bufora.