BIND Domain Name System DNS

BIND (Berkeley Internet Name Domain) es el servidor DNS más utilizado en Internet. Hoy en día, cada distribución de Linux tiene un paquete de servicios de DNS de BIND.
El problema con BIND y de cualquier servidor DNS es que, para ser capaz de traducir nombres a direcciones IP que tiene que comunicarse con un montón de otros servidores DNS, y por tanto, el filtrado de paquetes DNS no es posible. Los servicios de DNS son vitales para la conexión a Internet, de modo que, a fin de interrumpir los servicios a las víctimas, los atacantes tienen un gran interés en el derrocamiento de los servidores DNS. A pesar de BIND es bien conocido por sus problemas de seguridad, hay muchos servidores BIND vulnerables por ahí, y lo que tiene que ser muy cuidadoso BIND ejecutando. Una encuesta de servidor DNS en http://mydns.bboy.net/survey muestra la popularidad de BIND, y que todavía hay un montón de versiones vulnerables que hay. He aquí algunos de mis consejos sobre lo que proporcionaría un BIND más seguro:

• No utilice el paquete BIND, que viene con su distribución de Linux; descargar la última desde el sitio web de BIND (http://www.isc.org).
• Lugar de BIND en una jaula chroot. Esta es la mejor cosa que hacer para proteger contra vulnerabilidades explotables remotamente en BIND que permiten a un atacante obtener un intérprete de comandos en el servidor que ejecuta BIND. Si no chroot su versión de BIND y esa vulnerabilidad es descubierta, el servidor Linux y todos los datos que puede verse comprometido antes de que usted tiene el tiempo para mejorar.
• Siempre se aplican los parches y actualizar BIND cuando se descubre un error o una nueva versión que sale.
• Las transferencias de zona segura entre la enseñanza primaria y secundaria, los servidores DNS mediante DNS de transacciones Firmas (TSIG).
• Deshabilitar la recursividad y la cola ir a buscar a defender contra el envenenamiento de caché DNS.

A pesar de BIND es más popular y más fácil de configurar, considere el uso de TinyDNS, como lo ha demostrado ser más seguras a través de los años.

Apache Web Server

El servidor web más popular es el Apache, que se encuentra en http://www.apache.org, que tenía algunos problemas de seguridad en el pasado, si fueron errores de Apache o add-on vulnerabilidades módulos '. He aquí algunos de mis consejos sobre lo que proporcionaría un servidor Apache más seguro:

• Revisión de su servidor y tratar de mantenerla lo más actualizada posible.
• Quite todos los scripts de ejemplo de módulos adicionales (mod_php, mod_cgi, mod_perl, etc.)
• Si se ejecuta PHP, CGI, y otros lenguajes de script, considere el uso suEXEC, un programa contenedor llamado por Apache para que pueda llamar scripts de un ID de usuario diferente que la que utiliza para Apache.
• No permita que subida de las secuencias de comandos en su servidor web por las partes no sean de confianza.
• Lea todas las vulnerabilidades de los proyectos de código abierto que instale, como los foros de PHPBB, por ejemplo.
• No ejecute el servidor web como root. Crear un usuario con derechos mínimos para ejecutar el servidor web.
• Modificar la respuesta de fichas para su servidor web. Es más difícil para un atacante para reducirla cuando él o ella no sabe qué servidor web que está ejecutando.

Sistemas de control de versiones

Los sistemas de control de versiones proporcionan herramientas para los desarrolladores de software al mismo tiempo trabajar en el mismo conjunto de archivos y gestión de las diferentes versiones del código fuente.
En los sistemas Linux, el más popular sistema de control de versión CVS (Concurrent Versions System), utilizado por muchos proyectos de software de código abierto que permiten el acceso anónimo a sus repositorios de CVS a través del protocolo pserver que se ejecuta en el puerto TCP 2401 por defecto. Un servidor CVS con acceso remoto tiene las siguientes vulnerabilidades:

• Un desbordamiento de búfer que puede ser desencadenado por las líneas de entrada especialmente diseñada. El código de explotación para servidores CVS fue publicado en las listas de seguridad, y permite a atacantes ejecutar código arbitrario en el servidor CVS.
• Hay algunas vulnerabilidades en la aplicación de otros comandos y funciones que puede ser explotado por un usuario autenticado para provocar una denegación de servicio o ejecutar código arbitrario en el servidor CVS. Algunas de ellas pueden ser explotadas por usuarios anónimos.

Para protegerse contra estas vulnerabilidades, considere los siguientes pasos:

• Actualización de CVS a la última versión estable. CVS se puede encontrar en http://www.cvshome.org.
• Ejecutar el servidor CVS en una jaula chroot.
• Configurar CVS para utilizar el protocolo SSH en lugar del protocolo pserver (que envía las contraseñas en texto plano).
• Si no permiten el acceso anónimo al servidor CVS, trate de filtrado de puerto 2401 para permitir que sólo los hosts de confianza para conectarse a ella.
• El host del servidor CVS para anónimo de sólo lectura de acceso en un sistema independiente.
• Ejecute el publicado explota contra los servidores CVS.

Otro sistema de control de versiones que ganó popularidad en Linux es la subversión. Un repositorio Subversion puede acceder en forma remota a través del protocolo svn. El servidor SVN se ejecuta en el puerto TCP 3690 por defecto y contiene las siguientes vulnerabilidades:

• Un desbordamiento de búfer que puede ser explotada por atacantes no autenticados para ejecutar código arbitrario en el servidor de la subversión.
• Un desbordamiento de búfer que puede ser desencadenado por una especialmente diseñada get-fecha-svn rev. De esta manera también a un atacante no autenticado puede ejecutar código arbitrario. Por esta vulnerabilidad, explota múltiples fueron publicados en las listas de seguridad.

Para proteger su servidor de subversión contra las vulnerabilidades, las siguientes etapas:

1. Actualice su software de la subversión a la última versión estable de http://subversion.tigris.org/.
2. Configurar la subversión utilizar WebDAV en lugar del protocolo svn.
3. Si no permitir el acceso anónimo a su servidor de Subversion, intente filtrar el puerto TCP 3690 para permitir que sólo los hosts de confianza.
4. Ejecute el publicado explota contra su servidor de Subversion.
5. De host del servidor de Subversion para anónimo de sólo lectura de acceso en un sistema independiente.

Agentes de Transporte de Correo (MTA)

El MTA más populares para Linux es Sendmail, que había un montón de cuestiones de seguridad, incluidas las saturaciones del búfer que podría ser explotado para comprometer de forma remota el servidor de MTA. Las alternativas populares a Sendmail son Postfix, Qmail, Exim, y Courier-MTA.
Los problemas más popular de los ATM son las siguientes:

• Las vulnerabilidades como las saturaciones del búfer, desbordamientos de pila, etc, que pueden ser utilizados por atacantes remotos o locales para comprometer el servidor que ejecuta el MTA.
• Missconfiguration de la MTA permitiendo que todos se usan para enviar correo. Esto se llama relé abierto. ATM Missconfigured como relevos abiertos inmediatamente caen en manos de los spammers, que pueden causar grandes perjuicios a su empresa haciendo que su servidor de correo electrónico en uno de los muchos servidores de listas negras de correo electrónico, además del hecho de que todo el spam consume ancho de banda. Puede comprobar el servidor de correo para ver si se trata de una retransmisión abierta en http://www.abuse.net/relay.html, Es decir, un conjunto de pruebas para ver si hay alguna manera de un spammer para utilizar su servidor de correo electrónico para enviar correo a otras personas.
• El usuario de base de datos cuenta las vulnerabilidades de la divulgación.

---

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "BIND DNS Domain Name System", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.

---