Защита от ложного dns-сервера

ЗАЩИТА ОТ ЛОЖНОГО ARP-СЕРВЕРА

ЗАЩИТА ОТ АНАЛИЗА СЕТЕВОГО ТРАФИКА

Базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей).

В данном случае, рекомендуется по возможности не использовать эти базовые протоколы для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать бессмысленной, применяя стойкие криптоалгоритмы защиты IP-потока.

Кроме того, не следует пренебрегать такими методами защиты как правильное планирование топологии локальных сетей и разделение КС на сегменты (использование коммутаторов и локальных маршрутизаторов).

Данный тип удаленной атаки, использует недостатки в механизме удаленного поиска на базе протокола ARP. В том случае, если у сетевой ОС отсутствует информация о соответствии IP- и Ethernet-адресов узлов внутри одного сегмента IP-сети, данный протокол позволяет посылать широковещательный ARP-запрос на поиск необходимого Ethernet-адреса, на который атакующий может прислать ложный ответ, и в дальнейшем весь трафик на канальном уровне окажется перехваченным атакующим и пройдет через ложный ARP-cepвер.

Очевидно, что для ликвидации данной атаки необходимо устранить причину ее возможного осуществления, которая заключается в отсутствии у операционных систем каждого узла необходимой информации о соответствующих IР и Ethernet-адресах всех остальных узлов внутри данного сегмента сети. Таким образом, самое простое решение - создать статическую ARP-таблицу в виде файла, куда внести необходимую информацию об адресах. Данный файл устанавливается на каждый узел внутри сегмента и, следовательно, у сетевой операционной системы отпадает необходимость в использовании удаленного ARP-поиска. Стоит отметить, что данный метод реализуем только в UNIX-совместимых ОС.

Использование службы DNS может позволить злоумышленнику получить глобальный контроль над соединениями путем навязывания ложного маршрута через узел ложный DNS-сервер. Далее предлагаются возможные административные методы затруднения данной удаленной атаки, так как ни административно, ни программно защититься от атаки на существующую версию службы DNS нельзя. Оптимальное решение с точки зрения безопасности – вообще отказаться от применения службы DNS в вашем защищенном сегменте.

Полный отказ от использования имен при обращении к узлам вызовет неудобства, поэтому возможно предложить следующее компромиссное решение: использовать имена, но отказаться от механизма удаленного DNS-поиска. Очевидно, что на сегодняшний день администратору в подобный файл можно внести информацию лишь о наиболее часто посещаемых пользователями данного сегмента серверах сети.

Чтобы усложнить осуществление данной удаленной атаки (передача на узел ложного DNS-ответа без приема DNS-запроса), можно предложить использование протокол TCP вместо протокола UDP, который устанавливается по умолчанию.

Дата добавления: 2014-01-07; Просмотров: 269; Нарушение авторских прав?; Мы поможем в написании вашей работы!