BIND Domain Name System DNS

BIND (Berkeley Internet Name Domain) ist der am häufigsten verwendeten DNS-Server im Internet. Heutzutage hat jeder Linux-Distribution ein BIND-Paket für DNS-Dienste.
Das Problem mit BIND und keine DNS-Server ist, dass, um zu können Namen in IP-Adressen umwandelt es sich um eine ganze Reihe von anderen DNS-Servern zu kommunizieren, und so, Filterung DNS-Pakete ist nicht möglich. DNS-Dienste sind für die Internetverbindung wichtig, so um die Dienstleistungen für die Opfer zu stören, Angreifer ein großes Interesse an der Senkung der DNS-Server haben. Obwohl BIND bekannt ist für Fragen der Sicherheit bekannt ist, gibt es viele gefährdete BIND-Server gibt, und so muss man wirklich vorsichtig sein, BIND. Ein DNS-Server Umfrage http://mydns.bboy.net/survey zeigt die Popularität von BIND, und dass es noch eine ganze Reihe von Versionen anfällig da draußen. Hier sind einige meiner Ratschläge liefern, welche eine sichere BIND bieten:

  • Verwenden Sie nicht die BIND-Paket, das mit Ihrem Linux-Distribution kommt, laden Sie die neueste von BIND-Website (http://www.isc.org).
  • Ort BIND in einer chroot-Gefängnis. Das ist das Beste, was zu tun, um gegen das Netzwerk ausnutzbare Sicherheitslücken in BIND es Angreifern möglich, eine Shell auf dem Server mit BIND zu schützen. Wenn Sie Ihre Version von BIND und solchen Schwachstelle chroot entdeckt wird, den Linux Server und alle darauf gespeicherten Daten kann in Frage gestellt werden, bevor Sie die Zeit zur Aktualisierung haben.
  • Immer Patches und Upgrades BIND, wenn ein Fehler entdeckt wird oder eine neue Version herauskommt.
  • Secure Zone Transfers zwischen primären und sekundären DNS-Server mit DNS-Transaction Signatures (TSIG).
  • Deaktivieren Sie Rekursion und Klebstoff holen gegen die DNS-Cache-Poisoning verteidigen.
  

Obwohl BIND ist populärer und einfacher zu konfigurieren, sollten Sie tinydns, da es hat sich mehr sicher sein im Laufe der Jahre.

Apache Web Server

Die beliebtesten Web-Server Apache ist, fand auf http://www.apache.org, die einige Sicherheitslücken in der Vergangenheit hatten, ob sie Apache Bugs oder Add-on-Module Schwachstellen waren. Hier sind einige meiner Ratschläge liefern, welche eine sichere Apache-Server zur Verfügung:

  • Patch Ihrem Server und versuchen, es so aktuell wie möglich.
  • Entfernen Sie alle Beispielskripts von Add-On-Module (mod_php, mod_cgi, mod_perl, etc.).
  • Wenn mit PHP, CGI, und andere Script-Sprachen mithilfe von suEXEC, um ein Wrapper-Programm von Apache aufgerufen damit diese Skripte von einem anderen Benutzer Anruf-ID als der, den er für Apache.
  • Lassen Sie nicht Uploads von Skripten in Ihren Web-Server von nicht vertrauenswürdigen Parteien.
  • Lesen Sie mehr über alle Sicherheitslücken von Open-Source-Projekte, die Sie installieren, wie zB PHPBB Foren, zum Beispiel.
  • Führen Sie die Web-Server als root an. Erstellen Sie einen Benutzer mit minimalen Rechten ausführen, um die Web-Server.
  • Ändern Sie die Antwort Token für Ihren Webserver. Es ist schwieriger für einen Angreifer zu bringen, wenn er oder sie nicht wissen, was Sie Web-Server ausgeführt werden.

Version Control Systems

Version Control Systeme bieten Werkzeuge für Software-Entwickler gleichzeitig auf die gleichen Dateien arbeiten und verschiedene Versionen des Quellcodes zu verwalten.
In Linux-Systemen ist die beliebteste Version Control System CVS (Concurrent Versions System), die von vielen Open-Source Software-Projekte, die den anonymen Zugriff auf die CVS-Repositories können über den pserver-Protokoll, das auf TCP-Port 2401 standardmäßig. Ein CVS-Server mit Remote-Zugriff hat die folgenden Schwachstellen:

  • Ein Heap-basierten Pufferüberlauf, die von speziell gestalteten Eintrag Linien ausgelöst werden kann. Exploit-Code für den CVS-Server wurde auf Sicherheit-Listen veröffentlicht, und ermöglicht es Angreifern, beliebigen Code auf dem CVS-Server auszuführen.
  • Es gibt eine Reihe von Schwachstellen bei der Umsetzung der anderen Befehle und Funktionen, die von einem authentifizierten Benutzer ausgenutzt werden, um Denial of Service 'oder beliebigen Code auf dem CVS-Server. Einige von ihnen können von anonymen Benutzern ausgenutzt werden.

Um sich gegen diese Schwachstellen zu schützen, sollten Sie die folgenden Schritte:

  • CVS-Update auf die neueste stabile Version. CVS kann bei http://www.cvshome.org gefunden werden.
  • Führen Sie die CVS-Server in einer chroot-Gefängnis.
  • Konfiguriert CVS, den SSH-Protokoll verwenden, statt der pserver-Protokoll (die die Passwörter im Klartext sendet).
  • Wenn Sie nicht den anonymen Zugriff auf das CVS-Server zu ermöglichen, versuchen Filterung Port 2401, damit Sie nur vertrauenswürdigen Hosts zu verbinden.
  • Host dem CVS-Server für anonymen Lesezugriff auf einer Stand-Alone-System.
  • Führen Sie die veröffentlichten Exploits gegen das CVS-Server.

Eine andere Version Control System, das auf Linux-Popularität gewonnen wird Subversion. Ein Subversion-Repository kann aus der Ferne über das svn Protokoll zugegriffen werden. Die SVN-Server läuft auf dem TCP-Port 3690 standardmäßig aktiviert und enthält die folgenden Schwachstellen:

  • Ein Heap-basierten Pufferüberlauf, die von nicht authentifizierten Angreifern ausgenutzt werden, beliebigen Code auf dem Subversion-Server ausführen können.
  • Ein Stack-basierten Pufferüberlauf, der durch ausgelöst werden kann, eine speziell gestaltete get-date-Befehl svn rev. Auch auf diese Weise ein nicht authentifizierter Angreifer kann beliebigen Code auszuführen. Für diese Sicherheitsanfälligkeit wurden mehrere Exploits auf Sicherheit-Listen veröffentlicht.

Um Ihre Subversion-Server gegen diese Schwachstellen zu schützen, sollten Sie die folgenden Schritte:

1. Aktualisieren Sie Ihre Subversion-Software auf die neueste stabile Version von http://subversion.tigris.org/.
2. Konfigurieren von Subversion zu benutzen WebDAV anstelle der svn-Protokoll.
3. Wenn Sie nicht den anonymen Zugriff auf Ihre Subversion-Server zu ermöglichen, versuchen Sie das Filtern der TCP-Port 3690, nur vertrauenswürdigen Hosts zu ermöglichen.
4. Führen Sie die veröffentlichten Exploits gegen Ihre Subversion-Server.
5. Host die Subversion-Server für anonymen Lesezugriff auf einer Stand-Alone-System.

Email ist einer der beliebtesten Dienste im Internet und für ein Unternehmen ist es eine wichtige Dienstleistung in fast allen Abteilungen. SMTP (Send Mail Transport Protocol) ist eines der ältesten Protokolle im Internet und wird von MTAs verwendet, um E-Mail vom Absender zum Empfänger zu senden. SMTP lauscht auf dem TCP-Port 25 standardmäßig, und wenn es dazu dient, E-Mail von einer E-Mail-Adresse im Internet zu erhalten, muss es nicht gefiltert werden.
Die beliebtesten MTA für Linux ist Sendmail, die eine Vielzahl von Fragen der Sicherheit, einschließlich Pufferüberläufe, die remote ausgenutzt werden könnten, um die MTA-Server zu kompromittieren hatte. Beliebte Alternativen sind Postfix, Sendmail, Qmail, Exim und Courier-MTA.
MTAs 'beliebtesten Probleme sind die folgenden:

  • Schwachstellen wie Pufferüberläufe, Heap Overflows, etc., die von lokalen oder entfernten Angreifern genutzt werden können mit dem Server mit der MTA-Kompromiss.
  • Fehlkonfigurationen der MTA es jedem ermöglichen, es für das Senden von E-Mails verwenden. Dies wird als offenes Relay. Anonym konfiguriert MTAs als offene Relays sofort fallen in die Hände von Spammern, die große Schäden an Ihrem Unternehmen, indem es Ihre E-Mail-Server in einem der vielen E-Mail-Server-Blacklists, sowie die Tatsache, dass alle Spam verbraucht Bandbreite zur Folge haben kann. Sie können Ihre E-Mail-Server überprüfen, ob es sich um ein offenes Relay zu http://www.abuse.net/relay.html, Die eine Reihe von Tests ausgeführt, um zu sehen, wenn es irgendeine Art und Weise für ein Spammer Ihre E-Mail-Server verwenden, um Mail an andere Personen senden.
  • User-Account-Datenbank Offenlegung Schwachstellen.
Ein Artikel eingereicht von Philip A Clare

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "BIND DNS Domain Name System" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.


Online: 270 users browsing the articles directory