Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
نکته: روشهای مقابله با DNS Enumeration
قبلا در مورد DNS Enumeration در ITPRO بصورت مفصل صحبت کرده ایم و نوبتی هم باشد نوبت به ارائه راهکارها برای امنیت بیشتر این سرویس در مقابل حملات DNS Enumeration است . در اولین گام سعی کنید تا زمانیکه به این سرویس مسلط نشده اید و دقیقا مکانیزم کاری آن را درک نکرده اید سرویس DNS عمومی راه اندازی نکنید. این یک پیشنهاد دوستانه از طرف خودم بود اما بصورت کلی زمانیکه DNS سرور در سیستم عامل های مختلف را نصب و راه اندازی می کنید قابلیت یا گزینه ای وجود دارد که امکان Zone Transfer را فعال یا غیرفعال می کند و در عین حال شما سرورهایی که مجاز به دریافت Zone Transfer هستند را نیز مشخص می کنید. اگر قرار نیست DNS سرور شما Zone Transfer داشته باشد این قسمت را غیرفعال کنید و اگر قرار است با سرورهای خاصی ارتباط و Zone Transfer داشته باشد حتما آدرس های IP آنها را در این میان تعریف کنید.

اگر در شبکه های مبتنی بر سیستم عامل های مایکروسافت هستید و DNS سرور شما ویندوز سرور است و بر روی یک Doman Controller قرار دارد مطمئن شوید که Replication بین Domain Controller ها برای سرویس DNS حتما از طریق اکتیودایرکتوری انجام می شود به زبان ساده تر هیچوقت گزینه نگهداری Zone در قالب فایل در تنظیمات DNS سرور را فعال نگه ندارید مگر در زمانیکه نیاز به کپی کردن Zone داشته باشید. اگر از ترکیب دو نوع DNS سرور داخلی و خارجی یا مکانیزم DNS Split در شبکه استفاده می کنید مطمئن شوید که آدرس های IP Private شما در DNS سرور Public شما قرار نگرفته و بصورت عمومی در دسترس نباشند.

نوع خاصی از رکوردهای DNS به نام HINFO وجود دارد که اطلاعاتی از قبلی نوع سیستم عامل سرور و حتی اطلاعاتی مربوط به نوع CPU و ... را در خود نگه می دارد. شما باید مطمئن باشید که در DNS سرور شما HINFO Record یا چیزی مشابه آن وجود نداشته باشد و چنین رکوردهایی را از مجموعه فایل Zone حذف کنید. در فرآیند مدیریتی DNS هیچوقت رکوردها یا اطلاعات تماسی قرار ندهید که از طریق آن مهاجم بتواند حملات مهندسی اجتماعی را تدارک ببیند و تا جای ممکن اطلاعات هویتی و تماس را از سرویس DNS حذف کنید. حتما از فرآیند مبهم سازی در رکوردها استفاده کنید و یک الگوریتم مبهم سازی برای خودتان بصورت درون سازمانی و برون سازمانی تعریف کنید برای مثال Accounting.tosinso.com بصورت واضحی نشان می دهد که سرور حسابداری در پشت زمینه این اسم قرار دارد اما وقتی با اسمی مثل 00989121.tosinso.com مواجه شوید مهاجم نمی تواند سرویس پس زمینه را تشخیص بدهد و شناخت شبکه داخلی برایش مبهم تر خواهد شد. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

دیدگاه ها

هیچ دیدگاهی برای این مطلب ارسال نشده است

برای ارسال نظر وارد شوید.

Countdown