Межсетевое экранирование



              

Угрозы для динамических обновлений и способы обеспечения защиты


Динамические обновления означают, что клиенты могут делать изменения в данных зоны авторитетного name-сервера в реальном режиме времени. Клиентами, которые обычно выполняют динамические обновления, являются СА-серверы, DHCP-серверы или Интернет Multicast Address серверы. Рассмотрим некоторые основные угрозы, основанные на том факте, что динамические обновления означают модификацию данных, передаваемых по сети.

  • Угроза Т14 – неавторизованные модификации: неавторизованные модификации могут иметь несколько опасных последствий для содержимого зоны. Это включает:

    (i) добавление незаконных ресурсов (новый FQDN и новые ресурсные записи в файл зоны);

    (ii) удаление законных ресурсов (весь FQDN или конкретные ресурсные записи);

    (iii) изменение информации делегирования (NS-ресурсные записи, ссылающиеся на дочерние зоны).

  • Угроза Т15: данные в запросе динамического обновления могут быть подделаны.

  • Угроза Т16 – replay-атаки: сообщения запроса обновления могут быть перехвачены и повторены позднее, тем самым вызвав ненужные модификации.

Угрозы Т14 и Т15 могут быть ликвидированы аутентификацией участников и обеспечением способов определения подделанных сообщений. Так как данные цели безопасности в случае зонной пересылки могут быть решены TSIG-механизмом, тот же самый TSIG-механизм используется для защиты динамических обновлений. TSIG также обеспечивает способ защиты от replay-атак (угроза Т16) включением поля с отметкой времени в запрос динамического обновления таким образом, чтобы отметка времени также была аутентифицирована. Данная отметка времени дает возможность серверу определить своевременность запроса динамического обновления, используя ограничения времени, указанные в конфигурации.




Содержание  Назад  Вперед