BIND Domain Name System DNS

BIND (Berkeley Internet Name Domain) est le serveur DNS le plus utilisé sur Internet. De nos jours, toutes les distributions Linux dispose d'un forfait pour les services DNS BIND.
Le problème avec BIND et un serveur DNS est que, pour être en mesure de traduire les noms en adresses IP, il doit communiquer avec un tas d'autres serveurs DNS, et ainsi, le filtrage de paquets DNS n'est pas possible. Services DNS sont vitales pour la connexion Internet, de sorte afin de perturber les services aux victimes, les agresseurs ont un grand intérêt dans la baisse des serveurs DNS. Bien que BIND est bien connu pour ses problèmes de sécurité, il ya de nombreux serveurs BIND vulnérables là-bas, et donc vous devez faire très attention BIND cours d'exécution. Une enquête sur le serveur DNS à http://mydns.bboy.net/survey montre la popularité de BIND, et qu'il ya encore pas mal de versions vulnérables sur le marché. Voici quelques uns de mes conseils sur ce que donnerait un BIND plus sûr:

  • Ne pas utiliser le package Bind fournie avec votre distribution de Linux; télécharger la dernière version sur le site de BIND (http://www.isc.org).
  • Place de BIND dans un chroot. C'est la meilleure chose à faire pour protéger contre les vulnérabilités exploitables à distance BIND qui permettraient à un attaquant d'obtenir un shell sur le serveur BIND. Si vous ne chroot pas votre version de BIND et cette vulnérabilité est découverte, votre serveur Linux et toutes les données qu'il mai être compromise avant que vous ayez le temps de mise à niveau.
  • Toujours appliquer les correctifs et mise à jour BIND chaque fois qu'un bug est découvert ou une nouvelle version sort.
  • Les transferts de zone sécurisée entre primaire et secondaire, les serveurs DNS à l'aide DNS signatures de transaction (TSIG).
  • Désactiver la récursivité et aller chercher de la colle pour se défendre contre DNS cache poisoning.
  

Bien que BIND est plus populaire et plus facile à configurer, pensez à utiliser TinyDNS, car il s'est avéré être plus sûr au fil des ans.

Apache Web Server

Le serveur Web le plus populaire est Apache, trouvé à http://www.apache.org, qui avait quelques problèmes de sécurité dans le passé, qu'ils aient été bugs Apache ou add-on vulnérabilités modules '. Voici quelques uns de mes conseils sur ce que donnerait un monde plus sûr du serveur Apache:

  • Patcher votre serveur et essayez de le garder le plus à jour que possible.
  • Supprimez tous les exemples de scripts d'add-on modules (mod_php, mod_cgi, mod_perl, etc.)
  • Si vous utilisez PHP, CGI et autres langages de script, pensez à utiliser suEXEC, un programme d'enveloppe appelée par Apache pour lui permettre d'appeler des scripts à partir d'un ID d'utilisateur différent que celui qu'il utilise pour Apache.
  • Ne laissez pas les téléchargement de tous les scripts sur votre serveur Web par des parties non fiables.
  • Lisez à propos de toutes les vulnérabilités de toute projets open-source que vous installez, tels que les forums phpBB, par exemple.
  • Ne courez pas le serveur web en tant que root. Créer un utilisateur avec des droits minimaux pour exécuter le serveur web.
  • Modifier la réponse symbolique pour votre serveur web. Il est plus difficile pour un attaquant de l'abaisser quand il ou elle ne sait pas quel serveur Web que vous exécutez.

Version Control Systems

Systèmes de contrôle des versions fournir des outils pour les développeurs de logiciels de travailler simultanément sur le même ensemble de fichiers et de gérer les différentes versions du code source.
Dans les systèmes Linux, le plus populaire est le système de contrôle de version CVS (Concurrent Versions System), utilisé par de nombreux projets de logiciels open-source qui permettent l'accès anonyme à leurs dépôts CVS via le protocole pserver qui s'exécute sur le port TCP 2401 par défaut. Un serveur CVS avec accès à distance a les vulnérabilités suivantes:

  • Un heap-based buffer overflow qui peut être déclenché par des lignes d'entrée spécialement conçue. Code d'exploitation pour les serveurs CVS a été publié sur les listes de sécurité, et permet à des attaquants d'exécuter du code arbitraire sur le serveur CVS.
  • Il existe plusieurs vulnérabilités dans la mise en œuvre d'autres commandes et les fonctions qui mai être exploitée par un utilisateur authentifié de provoquer un déni de service ou exécuter un code arbitraire sur le serveur CVS. Certains de ces mai être exploitées par des utilisateurs anonymes.

Pour se protéger contre ces vulnérabilités, les étapes suivantes:

  • CVS update vers la dernière version stable. CVS peut être trouvé à http://www.cvshome.org.
  • Exécuter le serveur CVS dans une prison chroot.
  • Configurer CVS d'utiliser le protocole SSH au lieu du protocole pserver (qui envoie les mots de passe en texte clair).
  • Si vous ne permettent pas l'accès anonyme au serveur CVS, essayez de filtrage de port 2401 pour permettre à des hôtes de confiance uniquement pour se connecter à lui.
  • L'hôte du serveur CVS pour accès anonyme en lecture uniquement sur un système autonome.
  • Exécutez l'publiés exploits contre vos serveurs CVS.

Un autre système de contrôle de version qui a gagné en popularité sur Linux est la subversion. Un référentiel de Subversion peuvent être accédés à distance via le protocole svn. Le serveur svn fonctionne sur le port TCP 3690 par défaut et contient les vulnérabilités suivantes:

  • Un heap-based buffer overflow qui pourrait être exploité par des attaquants non-authentifiés afin d'exécuter du code arbitraire sur le serveur Subversion.
  • A stack-based buffer overflow qui peut être déclenché par un spécialement conçu Get-Date-commande svn rev. De cette manière aussi à un attaquant non authentifié peut exécuter du code arbitraire. Pour cette vulnérabilité, les exploits ont été publiés sur plusieurs listes de sécurité.

Pour protéger votre serveur de subversion contre ces vulnérabilités, envisager les étapes suivantes:

1. Mise à jour de votre logiciel de subversion vers la dernière version stable à partir http://subversion.tigris.org/.
2. Subversion Configurer pour utiliser WebDAV au lieu du protocole svn.
3. Si vous ne permettent pas l'accès anonyme à votre serveur Subversion, essayez de filtrer le port TCP 3690 pour permettre à des hôtes de confiance uniquement.
4. Exécutez l'publiés exploits contre votre serveur Subversion.
5. L'hôte du serveur subversion pour avoir accès anonyme en lecture uniquement sur un système autonome.

Mail Transport Agents (MTA)

Le courrier électronique est l'un des services les plus populaires sur l'Internet et pour une entreprise, il est un service vital dans presque tous les départements. SMTP (Send Mail Transport Protocol) est l'un des protocoles les plus anciennes sur l'Internet et il est utilisé par les agents MTA pour envoyer l'email de l'expéditeur aux destinataires. SMTP écoute sur le port TCP 25 par défaut, et si elle est utilisée pour recevoir des emails de n'importe quelle adresse e-mail sur l'Internet, il ne doit pas être filtré.
Le MTA le plus populaire pour Linux est Sendmail, qui a eu beaucoup de problèmes de sécurité y compris les dépassements de tampon qui pourraient être exploitées à distance pour compromettre le serveur MTA. Les alternatives populaires à Sendmail: Postfix, Qmail, Exim, et Courier-MTA.
Problèmes les plus populaires MTA »sont les suivantes:

  • Des vulnérabilités telles que les dépassements de mémoire tampon, les débordements de tas, etc, qui peuvent être utilisés par des attaquants distants ou locaux afin de compromettre le serveur exécutant le MTA.
  • Missconfiguration de l'ATM permettant à chacun de l'utiliser pour envoyer du courrier. C'est ce qu'on appelle le relais ouvert. MTA Missconfigured comme relais ouvert tombent immédiatement dans les mains des spammeurs, qui mai causer de grands dommages à votre entreprise grâce à votre serveur de messagerie dans une des listes noires de serveurs e-mail, et le fait que tous les mails consomme votre bande passante. Vous pouvez vérifier votre serveur de messagerie pour voir si elle est un relais ouvert à http://www.abuse.net/relay.html, Qui gère un ensemble de tests pour voir si il n'y a aucune façon pour un spammeur à utiliser votre serveur de messagerie pour envoyer du courrier à d'autres personnes.
  • User-divulgation des vulnérabilités base de données compte.
un article présenté par Philip A Clare

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «BIND DNS Domain Name System» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.


Online: 439 users browsing the articles directory