C

iasteczka DNS zostały przedstawione w RFC 7873. Są opcją rozszerzonego DNS (ang. EDNS – Extended DNS), która próbuje zaadresować wiele problemów, które próbował rozwiązać DNSSEC np. zatruwanie pamięci podręcznej (ang. Cache Poisoning), czy ataki polegające na wzmocnieniu odpowiedzi DNS (ang. DNS Amplification Attack) z sfałszowanymi adresami źródłowymi (ang. Spoofed Source Queries), którym DNSSEC nie zapobiegał, a nawet w niektórych przypadkach je pogarszał. Ciasteczka są znacznie łatwiejsze do wdrożenia niż DNSSEC, a bezpieczeństwo zapewniane przez nie można porównać do bezpieczeństwa uzyskiwanego dzięki użyciu TCP zamiast UDP.
[ czytaj całość… ]

W

pierwszej części poznaliśmy podstawowe opcje konfiguracyjne uniemożliwiające wykorzystanie naszego serwera jako open resolver oraz pozyskania plików stref. W tej części zajmiemy się blokowaniem informacji, które mogą dostarczyć atakującemu niezbędnej wiedzy podczas rekonesansu. Serwery BIND (oraz wiele innych) potrafią zwracać “ukryte” informacje, gdy zostanie wysłane do nich specjalne zapytanie DNS. Zazwyczaj nie jest to pożądana ekspozycja dlatego należy ją zablokować.
[ czytaj całość… ]

T

a krótka instrukcja poruszy temat skonfigurowania serwera DNS bind w środowisku chroot() pod katalogiem /var/chroot/named. Na początek w systemie należy zainstalować takie pakiety jak: bind9 oraz dnsutils. Pierwszy z dwóch zapewni nam oprogramowanie BIND samo w sobie podczas, gdy dnsutils takie narzędzia, jak dig oraz nslookup, które będzie można wykorzystać do przeprowadzania zapytań dns oraz troubleshootingu.
[ czytaj całość… ]

D

jbdns jest zestawem programów, który uważany jest za bardzo bezpieczny do obsługi usług DNS (posiadają bardzo wysoką odporność na ataki DNS Amplification oraz Cache Poisoing). Programy te – autorstwa Daniela Julius’a Bernstein’a (znanego wcześniej z autorstwa programu Qmail) powstały w odpowiedzi na wiele błędów, niedociągnięć i luk odkrytych w programie BIND.
[ czytaj całość… ]