BIND Domain Name System DNS

BIND (Berkeley Internet Name Domain) è il più usato server DNS su Internet. Oggi, ogni distribuzione Linux ha un pacchetto di servizi di BIND DNS.
Il problema con BIND e un server DNS è che, al fine di essere in grado di tradurre i nomi in indirizzi IP è di comunicare con un sacco di altri server DNS, e così, il filtraggio dei pacchetti DNS non è possibile. Servizi DNS sono di vitale importanza per il collegamento a Internet, così, al fine di interrompere i servizi per le vittime, gli aggressori hanno un grande interesse a far cadere i server DNS. BIND anche se è ben noto per i suoi problemi di sicurezza, ci sono molti server BIND vulnerabile là fuori, e quindi bisogna essere molto attenti BIND in esecuzione. Un sondaggio server DNS a http://mydns.bboy.net/survey mostra la popolarità di BIND, e che ci sono ancora un sacco di versioni vulnerabili là fuori. Ecco alcuni dei miei consigli su quello che sarebbe fornire un BIND più sicuro:

  • Non utilizzare il pacchetto BIND che viene fornito con la vostra distribuzione di Linux, scaricare l'ultima versione dal sito BIND (http://www.isc.org).
  • BIND posto in una chroot jail. Questa è la cosa migliore da fare per la protezione contro le vulnerabilità sfruttabili da remoto in BIND che consentono agli aggressori di ottenere una shell sul server che esegue BIND. Se non si chroot la versione di BIND e un tale vulnerabilità è stata scoperta, il vostro server Linux e tutti i dati su di esso può essere compromessa prima di avere il tempo di aggiornamento.
  • Sempre applicare patch e upgrade BIND ogni volta che viene scoperto un bug o una nuova versione viene fuori.
  • I trasferimenti di zona sicura tra primario e secondario DNS server DNS utilizzando firme di transazione (TSIG).
  • Disabilitare la ricorsione e colla recupero di difendere contro DNS cache poisoning.
  

Anche se BIND è più popolare e facile da configurare, considerare l'utilizzo di tinydns, come ha dimostrato di essere più sicuro nel corso degli anni.

Apache Web Server

Il server web più popolare è Apache, disponibile sul sito http://www.apache.org, che aveva alcuni problemi di sicurezza in passato, se questi sono stati bug Apache o add-on vulnerabilità moduli '. Ecco alcuni dei miei consigli su cosa avrebbe fornito un server Apache più sicuro:

  • Applicare la patch al server e cercare di tenerlo il più aggiornato possibile.
  • Rimuovere tutti gli script di esempio di moduli add-on (mod_php, mod_cgi, mod_perl, ecc.)
  • Se l'esecuzione di PHP, CGI, e altri linguaggi di script, è possibile utilizzare suEXEC, un programma wrapper chiamato da Apache per poter chiamare gli script da un ID utente diverso rispetto a quello che utilizza per Apache.
  • Non consentire il caricamento di qualsiasi script nel vostro server web da parte di soggetti non attendibili.
  • Leggi tutte le vulnerabilità di progetti open-source che si installa, come i forum phpBB, per esempio.
  • Non eseguire il web server come root. Creare un utente con i diritti minimi per eseguire il server web.
  • Modificare la risposta token per il vostro server web. E 'difficile per un utente malintenzionato di abbatterlo quando lui o lei non sa cosa server Web è in esecuzione.

Version Control Systems

Sistemi di controllo delle versioni forniscono gli strumenti per gli sviluppatori di software per lavorare contemporaneamente sullo stesso set di file e gestire le diverse versioni del codice sorgente.
Nei sistemi Linux, il più popolare sistema di controllo di versione è CVS (Concurrent Versions System), utilizzato da molti progetti di software open-source che consentono l'accesso anonimo al loro repository CVS tramite il protocollo pserver che gira sulla porta TCP 2401 per impostazione predefinita. Un server CVS con accesso remoto ha le seguenti vulnerabilità:

  • Un heap-based buffer overflow che può essere innescato da linee di ingresso appositamente predisposto. Codice exploit per server CVS è stato pubblicato su liste di sicurezza, e consente agli aggressori di eseguire codice arbitrario sul server CVS.
  • Ci sono alcune vulnerabilità per l'attuazione di altri comandi e funzioni che possono essere sfruttate da un utente autenticato di causare Denial of Service o eseguire codice arbitrario sul server CVS. Alcune di queste possono essere sfruttate da utenti anonimi.

Per la protezione contro queste vulnerabilità, si consideri la seguente procedura:

  • CVS update per l'ultima release stabile. CVS può essere trovato alla http://www.cvshome.org.
  • Eseguire il server CVS in una chroot jail.
  • Configura CVS di utilizzare il protocollo SSH invece del protocollo pserver (che invia le password in chiaro).
  • Se non consentire l'accesso anonimo al server CVS, tenta di filtraggio porta 2401 per consentire agli host solo di fiducia per connettersi ad esso.
  • Ospitare il server CVS di lettura anonimi l'accesso in sola su un sistema stand-alone.
  • Eseguire il pubblicati exploit contro il vostro server CVS.

Un altro sistema di controllo di versione, che ha guadagnato la popolarità su Linux è sovversione. Un repository subversion è possibile accedere in modalità remota tramite il protocollo svn. Il server SVN eseguito sulla porta TCP 3690 per impostazione predefinita e contiene le seguenti vulnerabilità:

  • Un heap-based buffer overflow che può essere sfruttata da aggressori non autenticati di eseguire codice arbitrario sul server Subversion.
  • Uno stack-based buffer overflow che può essere innescato da un appositamente predisposto get-data-comando svn rev. Anche in questo modo un utente malintenzionato non autenticato può eseguire codice arbitrario. Per questa vulnerabilità, exploit sono stati pubblicati su più liste di sicurezza.

Per proteggere il vostro server di sovversione contro tali vulnerabilità, si consideri la seguente procedura:

1. Aggiorna il tuo software di sovversione per l'ultima versione stabile da http://subversion.tigris.org/.
2. Sovversione Configura per utilizzare WebDAV invece del protocollo svn.
3. Se non consentire l'accesso anonimo al server Subversion, prova a filtrare la porta TCP 3690 per consentire solo gli host attendibili.
4. Eseguire il pubblicati exploit contro il vostro server Subversion.
5. Ospitare il server Subversion di lettura anonimi l'accesso in sola su un sistema stand-alone.

Mail Transport Agents (MTA)

E-mail è uno dei servizi più popolari su Internet e per una società che è un servizio di vitale importanza in quasi tutti i reparti. SMTP (Send Mail Transport Protocol) è uno dei protocolli più antico su Internet ed è usato da MTA per inviare e-mail dal mittente ai destinatari. SMTP in ascolto sulla porta TCP 25 per impostazione predefinita, e se è utilizzato per ricevere e-mail da qualsiasi indirizzo di posta elettronica su Internet, non deve essere filtrata.
Il più popolare MTA per Linux è Sendmail, che aveva un sacco di problemi di sicurezza compresi sovraccarichi del buffer che potrebbe essere sfruttata da remoto per compromettere il server MTA. Alternative popolari di Sendmail sono Postfix, Qmail, Exim, e Courier-MTA.
I problemi più diffusi MTA 'sono i seguenti:

  • Vulnerabilità come buffer overrun, heap overflow, ecc, che può essere utilizzato da aggressori remoti o locali per compromettere il server che esegue il MTA.
  • Missconfiguration del MTA permette a tutti di utilizzare per l'invio di posta elettronica. Questo si chiama open relay. MTA malconfigurata come open relay subito cadere nelle mani degli spammer, che possono causare grossi danni alla vostra azienda di avere il vostro server di posta in una delle liste nere molti server di posta elettronica, oltre al fatto che tutte le spam consuma la larghezza di banda. È possibile controllare il server di posta per vedere se si tratta di un open relay a http://www.abuse.net/relay.html, Che gestisce una serie di test per vedere se c'è qualche modo per uno spammer di utilizzare il server di posta elettronica per inviare una mail ad altre persone.
  • User-database di vulnerabilità conto divulgazione.
un articolo presentato da Philip A Clare

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "BIND Domain Name System DNS" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.


Online: 455 users browsing the articles directory