NFsec Logo

CAA – Certificate Authority Authorization

08/05/2017 w Bezpieczeństwo Brak komentarzy.

P

odczas ostatnich testów na SSL Labs zauważyłem nowy wpis, jaki pojawił się na tablicy wyników: DNS CAA: No. O, co chodzi z tym wsparciem dla DNS CAA? CAA jest nowym typem rekordu DNS, który określa, jaki CA (Certificate Authority – określenie organizacji bądź firmy zajmującej się wydawaniem i obsługą elektronicznych certyfikatów) jest uprawniony do wystawienia certyfikatu dla danej domeny. CAA został opisany w RFC 6844 w 2013 roku w celu poprawy siły ekosystemu PKI (Public Key Infrastructure). Niestety przez ostatnie 4 lata pozostawał on tylko w statusie propozycji standardu. Jednak za sprawą ostatniego głosowania CA/Browser Forum ma to się zmienić od 8 września 2017 roku. Po tym czasie standard wydawania certyfikatów zostanie wzbogacony o sprawdzanie rekordów CAA.
[ czytaj całość… ]

Podstawy bezpieczeństwa BIND 9 cz. II

08/04/2017 w Bezpieczeństwo, Pen Test Brak komentarzy.

W

pierwszej części poznaliśmy podstawowe opcje konfiguracyjne uniemożliwiające wykorzystanie naszego serwera jako open resolver oraz pozyskania plików stref. W tej części zajmiemy się blokowaniem informacji, które mogą dostarczyć atakującemu niezbędnej wiedzy podczas rekonesansu. Serwery BIND (oraz wiele innych) potrafią zwracać „ukryte” informacje, gdy zostanie wysłane do nich specjalne zapytanie DNS. Zazwyczaj nie jest to pożądana ekspozycja dlatego należy ją zablokować.
[ czytaj całość… ]

Blokowanie zapytań DNS za pomocą iptables

29/11/2014 w Administracja Brak komentarzy.

Z

ałóżmy, że do naszego serwera DNS, który jest otwarty tylko dla sieci wewnętrznej zaczyna przychodzić niechciany ruch (od setek do tysięcy zapytań na sekundę) pochodzący od szkodliwego oprogramowania / złej konfiguracji serwerów. W zależności od oprogramowania jakiego używamy do obsługi zapytań DNS – zablokowanie konkretnego rodzaju zapytań może stać się dość trudne. Pierwszym rozwiązaniem tego problemu wydaje się zablokowanie wszystkich żądań DNS, które posiadają konkretne wyrażenie w zawartości pakietu.
[ czytaj całość… ]

Sprawdzanie poprawności wpisów i serwerów DNS

08/10/2011 w Administracja Brak komentarzy.

Z

ainstalowaliśmy i skonfigurowaliśmy serwery DNS – wydają się, że działają poprawnie. Możemy wykorzystać do ich sprawdzenia różnego rodzaju narzędzia pochodzące z naszego systemu operacyjnego np. host lub nslookup. Jednak zamiast tego – do przetestowania naszych publicznie dostępnych serwerów DNS możemy wykorzystać takie serwisy jak: Pingdom Tools: DNS Health lub intoDNS, które potrafią zaoszczędzić nam dużo czasu. Sprawdzają one nie tylko kompleksowo naszą konfigurację, ale również w przypadku wykrycia błędu lub odstępstwa od standardu zasugerują zmiany. Innymi serwisami tego typu również są: DNSsy oraz DNS Check.

Serwer DNScache z djbdns

21/08/2009 w Bezpieczeństwo 1 komentarz.

D

jbdns jest zestawem programów, który uważany jest za bardzo bezpieczny do obsługi usług DNS (posiadają bardzo wysoką odporność na ataki DNS Amplification oraz Cache Poisoing). Programy te – autorstwa Daniela Julius’a Bernstein’a (znanego wcześniej z autorstwa programu Qmail) powstały w odpowiedzi na wiele błędów, niedociągnięć i luk odkrytych w programie BIND.
[ czytaj całość… ]

DNS spoofing, czyli podszywanie się pod serwer DNS

02/08/2009 w Hakin9 & Linux+ Brak komentarzy.

W

łaściwie wszyscy interesujący się tematem bezpieczeństwa w sieciach komputerowych wiedzą, że protokół DNS ma błędy związane z bezpieczeństwem, jednak nie każdy tak naprawdę wie, na czym one polegają i na ile są groźne. Niniejszy tekst ma na celu przedstawienie tych błędów oraz zagrożeń z nimi związanych.
[ czytaj całość… ]

Rozkładanie obciążenia za pomocą serwera DNS

09/06/2009 w Hacks & Scripts Brak komentarzy.

P

rzedstawiony hack jest tłumaczeniem „Distributing Server Load with Round-Robin DNS” z książki „Linux Servers Hacks” autorstwa Rob’a Flickenger’a udostępnionym on-line (Hack #79) na stronie http://hacks.oreilly.com. Do tłumaczenia zostało dodane także parę informacji od tłumacza.
[ czytaj całość… ]

OpenDNS – bezpieczniej, szybciej, mądrzej.

01/06/2009 w Administracja Brak komentarzy.

O

penDNS jest darmową dla wszystkich (obejmuje cały świat) usługą DNS (ang. Domain Name System – System Nazw Domenowych), która umożliwia translację adresów internetowych zrozumiałych i łatwych do zapamiętania dla użytkowników na adresy, które są zrozumiałe dla urządzeń tworzących sieci komputerowe. Mówiąc prościej – potrafi ona przetłumaczyć adres w postaci www.nfsec.pl na adres IP (ang. Internet Protocol address): 205.97.59.2 – pozwalając w ten sposób zlokalizować konkretny komputer w sieci Internet. OpenDNS został stworzony w lipcu 2006 roku, z myślą o dostarczeniu użytkownikom bezpieczniejszej, szybszej i inteligentniejszej usługi DNS.
[ czytaj całość… ]

Sprawdzanie podatności DNS na Cache Poisoning

14/09/2008 w Bezpieczeństwo Brak komentarzy.

Ó

smego lipca 2008 roku Dan Kaminsky przedstawił poważne luki w implementacjach zabezpieczeń systemu nazw domenowych (ang. Domian Name System, DNS). Obejmują one luki wykryte w serwerach DNS BIND 8 i 9 przed wersjami 9.5.0-P1, 9.4.2-P1, oraz 9.3.5-P1; (2) Microsoft DNS w Windows 2000 SP4, XP SP2 i SP3, oraz Microsoft Server 2003 SP1 i SP2, a także prawdopodobnie w innych implementacjach, które pozwalają na sfałszowanie ruchu DNS techniką zatruwania DNS poprzez atak urodzinowy używający przekazywanych do rozpatrzenia rekordów in-bailiwick.
[ czytaj całość… ]