監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產品資料
X 關閉

如何讓IaaS服務免受DNS漏洞的威脅?

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

本文是關于云安全技術應用指南系列中的第六篇,我們集中討論域名系統(tǒng)(DNS)的漏洞,以及它們是如何對基礎設施即服務(IaaS)產品產生負面影響的。

我們之前的文章主要涉及IaaS受到底層操作系統(tǒng)與服務的威脅和來自于遠程管理解決方案的威脅,而本文將闡述域名系統(tǒng)以及受損IP地址解析或錯誤數(shù)據反饋是如何對IaaS產品構成威脅的。

快速DNS入門

域名系統(tǒng)(DNS)將某一域名翻解析IP地址。為了訪問互聯(lián)網上的一臺服務器,您需要知道其IP地址,而對于人們來說他們相對更易于記住一個域名(例如www.techtarget.com),而不是記住一個IP地址(例如,192.168.134.235)。DNS就提供了這樣一個翻譯服務。它使用有層次的服務器和域名擁有者(即那些擁有DNS域名的人或組織),提供將這些域名與IP地址的“權威”影射。作為系統(tǒng)的一部分,還有一些幫助分擔域名解析請求的二級服務器和緩存服務器。

另外一個需要指出的事實是,主查詢響應請求完成后所使用的用戶數(shù)據報協(xié)議(UDP)在默認情況下是非安全、無國籍、不可靠的。

有哪些來自DNS的威脅會影響IaaS服務?

由于我們依賴于DNS來幫我們進行域名與IP地址之間的影射,那么我們在可能的情況下都必須注意和減輕任何阻止解析或錯誤數(shù)據反饋的情況。而后者可以稱得上是要解決的最大威脅。讓我們來看看這個例子:

您希望管理您的IaaS服務器,其DNS名稱是server.example.com。您打開您的遠程管理工具并啟動一個對話。您的客戶端向DNS服務器查詢“解析”域名server.example.com并返回IP地址。同時,攻擊者已設立了一個惡意的DNS服務器用于查找DNS查詢并響應其所控制系統(tǒng)的IP地址。然后您的客戶端連接到返回的IP地址(惡意服務器)。攻擊者就能夠嘗試攻擊您客戶端。

在這方面,主要有四種DNS威脅會影響IaaS服務:

緩存中毒:當一個DNS服務器沒有域名-IP影射信息時,它必須找到另外一個擁有這些信息的DNS服務器。當它接收到回答時,它通常將該信息存放于緩存中以便于之后再次使用(有超時和限制,但它們作用有限)。緩存中毒就是指服務器接收到包含錯誤信息的回答。惡意緩存中毒也稱為DNS欺騙。

不安全的動態(tài)更新:這是另外一個將惡意數(shù)據帶入DNS服務器的機制,然后再對該信息的任意查詢返回惡意數(shù)據。其效果類似于緩存中毒。

信息泄露:一個攻擊者執(zhí)行DNS區(qū)域傳輸以獲取DNS域名,計算機名和IP地址,以便于識別敏感的網絡資源。

服務堵塞:一個攻擊者采用遞歸查詢的方式攻擊DNS服務器,使它們無法對正常合法的查詢做出響應。如果沒有了域名-IP的解析服務,您將無法訪問您的IaaS資源。

如何應對

如果用戶控制了DNS服務器,可以采用手工操作減輕這些威脅,或是可能需要由供應商來處理。以下是我對于緩解威脅的若干建議:

只使用IP地址或一個本地主機文件: 如果您不使用DNS進行域名-IP的解析,那么以上所述的DNS問題就變得無關重要。雖然這似乎不切實際,但是如果您擁有的IaaS數(shù)量有限,且可以指定靜態(tài)IP,這是一個現(xiàn)實的解決方案。

隨機事務ID:確保DNS服務器具有一個適當?shù)碾S機事務ID(最新的DNS服務器就是這么做的)。每一個DNS查詢都被分配一個ID,其值的隨機性將使攻擊更難以執(zhí)行。

源端口隨機化:配置您的DNS服務器使用“查詢源端口隨機化”。攻擊者將需要知道事務ID以及事務發(fā)送的端口(即隨機源端口將不一定是53)。請注意,這可能會影響防火墻規(guī)則。

安全動態(tài)更新:配置您的DNS服務器和客戶端只接收安全動態(tài)更新。您也可以限制動態(tài)更新源的IP地址范圍。

限制區(qū)域傳輸:這將阻止攻擊者輕易地收集您的IaaS IP和主機名信息。

總結

DNS是一個基礎性的互聯(lián)網協(xié)議?;ヂ?lián)網及其上的所有服務在缺乏DNS的情況下都不能充分發(fā)揮作用。但是如同電力一樣,在不出現(xiàn)故障的情況下人們似乎并不覺得其存在。在使用IaaS時,時刻謹記保持這種服務的重要性及其周圍安全問題。

發(fā)布:2007-04-21 11:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普長沙OA軟件行業(yè)資訊其他應用

長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網站建設公司