Защита от атак через интернет
O'zingizni soxta DNS-serverdan qanday himoya qilish kerak?
Yüklə 69,51 Kb.
|
2.4 O'zingizni soxta DNS-serverdan qanday himoya qilish kerak?Internetda DNS-ni hozirgi ko'rinishida ishlatish krakerga krakerning xosti, ya'ni yolg'on DNS serveri orqali hiyla-nayrang marshrutini o'rnatish orqali ulanishlar ustidan global nazoratni qo'lga kiritish imkonini beradi. DNS xizmatidagi potentsial zaifliklarga asoslanib, ushbu masofaviy hujum juda ko'p Internet foydalanuvchilari uchun halokatli oqibatlarga olib kelishi va ushbu global tarmoqning axborot xavfsizligini ommaviy ravishda buzishi mumkin. Keyingi ikkita paragraf tarmoq ma'murlari va foydalanuvchilari va DNS serverlari ma'murlari uchun ushbu masofaviy hujumning oldini olish yoki to'sqinlik qilishning mumkin bo'lgan ma'muriy usullarini taklif qiladi. a) Tarmoq administratori soxta DNS serverdan qanday himoya qilishi mumkin?Bu savolga qisqa javob yo'q. DNS xizmatining mavjud versiyasiga hujumdan na ma'muriy, na dasturiy jihatdan himoya qila olmaydi. Xavfsizlik nuqtai nazaridan eng yaxshi yechim sizning himoyalangan segmentingizda DNS xizmatidan foydalanishni butunlay to'xtatishdir! Albatta, foydalanuvchilarga xostlarga murojaat qilganda nomlardan foydalanishdan butunlay voz kechish juda noqulay bo'lardi. Shuning uchun biz quyidagi murosali yechimni taklif qilishimiz mumkin: nomlardan foydalaning, lekin masofaviy DNS qidirish mexanizmidan voz keching. Siz buni to'g'ri taxmin qildingiz, bu maxsus DNS serverlari bilan oldingi DNS sxemasiga qaytish. Keyin tarmoqdagi har bir mashinada tarmoqdagi barcha xostlarning tegishli nomlari va IP manzillari haqidagi ma'lumotlarni o'z ichiga olgan xostlar fayli mavjud edi. Shubhasiz, bugungi kunda ma'mur bunday faylga faqat ushbu segment foydalanuvchilari tomonidan eng ko'p tashrif buyuriladigan tarmoq serverlari haqida ma'lumot kiritishi mumkin. Shuning uchun, ushbu yechimni amalda qo'llash juda qiyin va, ehtimol, haqiqiy emas (masalan, ismlar bilan URL-manzillardan foydalanadigan brauzerlar bilan nima qilish kerak?). Ushbu masofaviy hujumni qiyinlashtirish uchun siz ma'murlarga DNS xizmati uchun standart UDP protokoli o'rniga TCP dan foydalanishni taklif qilishingiz mumkin (garchi hujjatlarda uni qanday o'zgartirish kerakligi aniq bo'lmasa ham ). Bu tajovuzkorning DNS so'rovini olmagan holda xostga soxta DNS javobini yuborishini ancha qiyinlashtiradi. Umumiy noqulay xulosa quyidagicha: Internetda DNS xizmatining mavjud versiyasidan foydalanganda soxta DNS serveridan himoya qilish uchun maqbul echim yo'q (va siz ARP misolida bo'lgani kabi rad eta olmaysiz va bu foydalanish xavfli)! Yüklə 69,51 Kb. Dostları ilə paylaş:
|