forum.opennet.ru

Составление сообщения

Исходное сообщение

"ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."
Отправлено opennews, 24-Фев-19 12:01

Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами и интернете,  выступила с инициативой (https://www.icann.org/news/announcement-2019-02-22-en) повсеместного перехода на использование DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак (https://www.opennet.ru/opennews/art.shtml?num=49937) на DNS-серверы и ростом связанной с DNS вредоносной активностью (https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recen....

Последнее время фиксируется множество различных типов атак на DNS, от  захвата доменов (https://www.opennet.ru/opennews/art.shtml?num=49744) через перехват параметров учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения списка DNS-серверов или содержимого отдельных записей, до применения (https://www.opennet.ru/opennews/art.shtml?num=48494) BGP (https://www.opennet.ru/opennews/art.shtml?num=48679) для подмены DNS-серверов.

Большую часть из  атак, связанных с заменой привязки имени к IP, отравлением DNS-кэша или MITM-подменой, можно было блокировать в случае использования DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись без получения закрытого ключа, который хранится отдельно у владельца домена.

Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров DNS организация ICANN выработала (https://www.icann.org/news/announcement-2019-02-15-en) список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применение DNSSEC для защиты  целостности содержимого DNS зон и включение валидации DNSSEC на стороне резолверов.  При этом DNSSEC не выполняет шифрование трафика  - для обеспечения конфиденциальности и защиты трафика от перехвата следует использовать DoH (https://www.opennet.ru/opennews/art.shtml?num=49673) ("DNS over HTTPS") или DoT ("DNS over TLS (https://www.opennet.ru/opennews/art.shtml?num=48443)").
Также упомянуты такие общие рекомендации, как  применение двухфакторой аутентификации для доступа к интерфейсам управления доменами, регулярная и оперативная установка обновлений с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование обоснованности предоставления сотрудникам повышенных полномочий (root-доступа), отслеживание истории всех изменений DNS-записей, использование надёжных паролей, исключение передачи паролей в открытом виде и регулярная смена паролей. Для защиты почтовых отправлений рекомендовано использовать DMARC с SPF или DKIM записями.

Дополнительно можно отметитьпубликацию (https://www.mail-archive.com/bind-announce@lists.isc.or... корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трёх уязвимостей:
-  CVE-2018-5744 (https://lists.isc.org/pipermail/bind-announce/2019-February/... может использоваться для вызова отказа в обслуживании через создание условий для исчерпания доступной для процесса named  памяти. Проблема вызвана некорректным освобождением памяти при обработке пакетов с определённым сочетанием опций EDNS. В случае если на уровне операционной системы размер выделяемой процессу named памяти не лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной памяти.
-  CVE-2019-6465 (https://lists.isc.org/pipermail/bind-announce/2019-February/... - пользователь может запросить и получить содержимое DNS-зоны не имея на это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только для зон DLZ (Dynamically Loadable Zones), доступных на запись.

-  CVE-2018-5745 (https://lists.isc.org/pipermail/bind-announce/2019-February/... - возможность инициирование краха (assertion failure) процесса named при указании неподдерживаемого в BIND алгоритма ключей DNSSEC при использовании режима "managed-keys". Уязвимость может быть эксплуатировано только сто стороны доверенного DNS-сервера, указанного администраторм в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не столько атаками, сколько возможностью непреднамеренного проявления, например, когда BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен на использование для валидации DNSSEC сервера, который может использовать один из этих алгоритмов.

URL: https://www.mail-archive.com/bind-announce@lists.isc.or...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50199

Исходное сообщение
"ICANN призывает к повсеместному внедрению DNSSEC. Обновление..." Отправлено opennews, 24-Фев-19 12:01
Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами и интернете, выступила с инициативой (https://www.icann.org/news/announcement-2019-02-22-en) повсеместного перехода на использование DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак (https://www.opennet.ru/opennews/art.shtml?num=49937) на DNS-серверы и ростом связанной с DNS вредоносной активностью (https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recen.... Последнее время фиксируется множество различных типов атак на DNS, от захвата доменов (https://www.opennet.ru/opennews/art.shtml?num=49744) через перехват параметров учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения списка DNS-серверов или содержимого отдельных записей, до применения (https://www.opennet.ru/opennews/art.shtml?num=48494) BGP (https://www.opennet.ru/opennews/art.shtml?num=48679) для подмены DNS-серверов. Большую часть из атак, связанных с заменой привязки имени к IP, отравлением DNS-кэша или MITM-подменой, можно было блокировать в случае использования DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись без получения закрытого ключа, который хранится отдельно у владельца домена. Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров DNS организация ICANN выработала (https://www.icann.org/news/announcement-2019-02-15-en) список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применение DNSSEC для защиты целостности содержимого DNS зон и включение валидации DNSSEC на стороне резолверов. При этом DNSSEC не выполняет шифрование трафика - для обеспечения конфиденциальности и защиты трафика от перехвата следует использовать DoH (https://www.opennet.ru/opennews/art.shtml?num=49673) ("DNS over HTTPS") или DoT ("DNS over TLS (https://www.opennet.ru/opennews/art.shtml?num=48443)"). Также упомянуты такие общие рекомендации, как применение двухфакторой аутентификации для доступа к интерфейсам управления доменами, регулярная и оперативная установка обновлений с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование обоснованности предоставления сотрудникам повышенных полномочий (root-доступа), отслеживание истории всех изменений DNS-записей, использование надёжных паролей, исключение передачи паролей в открытом виде и регулярная смена паролей. Для защиты почтовых отправлений рекомендовано использовать DMARC с SPF или DKIM записями. Дополнительно можно отметитьпубликацию (https://www.mail-archive.com/bind-announce@lists.isc.or... корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трёх уязвимостей: - CVE-2018-5744 (https://lists.isc.org/pipermail/bind-announce/2019-February/... может использоваться для вызова отказа в обслуживании через создание условий для исчерпания доступной для процесса named памяти. Проблема вызвана некорректным освобождением памяти при обработке пакетов с определённым сочетанием опций EDNS. В случае если на уровне операционной системы размер выделяемой процессу named памяти не лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной памяти. - CVE-2019-6465 (https://lists.isc.org/pipermail/bind-announce/2019-February/... - пользователь может запросить и получить содержимое DNS-зоны не имея на это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только для зон DLZ (Dynamically Loadable Zones), доступных на запись. - CVE-2018-5745 (https://lists.isc.org/pipermail/bind-announce/2019-February/... - возможность инициирование краха (assertion failure) процесса named при указании неподдерживаемого в BIND алгоритма ключей DNSSEC при использовании режима "managed-keys". Уязвимость может быть эксплуатировано только сто стороны доверенного DNS-сервера, указанного администраторм в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не столько атаками, сколько возможностью непреднамеренного проявления, например, когда BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен на использование для валидации DNSSEC сервера, который может использовать один из этих алгоритмов. URL: https://www.mail-archive.com/bind-announce@lists.isc.or... Новость: https://www.opennet.ru/opennews/art.shtml?num=50199

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами и 
> интернете,  выступила с инициативой (https://www.icann.org/news/announcement-2019-02-22-en) 
> повсеместного перехода на использование DNSSEC (https://ru.wikipedia.org/wiki/DNSSEC) 
> для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых 
> частей инфраструктуры DNS, вызванного увеличением числа атак (https://www.opennet.ru/opennews/art.shtml?num=49937) 
> на DNS-серверы и ростом связанной с DNS вредоносной активностью (https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/).

> Последнее время фиксируется множество различных типов атак на DNS, от  захвата 
> доменов (https://www.opennet.ru/opennews/art.shtml?num=49744) через перехват параметров 
> учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения 
> списка DNS-серверов или содержимого отдельных записей, до применения (https://www.opennet.ru/opennews/art.shtml?num=48494) 
> BGP (https://www.opennet.ru/opennews/art.shtml?num=48679) для подмены DNS-серверов.

>  Большую часть из  атак, связанных с заменой привязки имени к 
> IP, отравлением DNS-кэша или MITM-подменой, можно было блокировать в случае использования 
> DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись 
> без получения закрытого ключа, который хранится отдельно у владельца домена.

> Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров 
> DNS организация ICANN выработала (https://www.icann.org/news/announcement-2019-02-15-en) 
> список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех 
> связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применение 
> DNSSEC для защиты  целостности содержимого DNS зон и включение валидации 
> DNSSEC на стороне резолверов.  При этом DNSSEC не выполняет шифрование 
> трафика  - для обеспечения конфиденциальности и защиты трафика от перехвата 
> следует использовать DoH (https://www.opennet.ru/opennews/art.shtml?num=49673) ("DNS 
> over HTTPS") или DoT ("DNS over TLS (https://www.opennet.ru/opennews/art.shtml?num=48443)").

> Также упомянуты такие общие рекомендации, как  применение двухфакторой аутентификации 
> для доступа к интерфейсам управления доменами, регулярная и оперативная установка обновлений 
> с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование 
> обоснованности предоставления сотрудникам повышенных полномочий (root-доступа), отслеживание 
> истории всех изменений DNS-записей, использование надёжных паролей, исключение передачи 
> паролей в открытом виде и регулярная смена паролей. Для защиты почтовых 
> отправлений рекомендовано использовать DMARC с SPF или DKIM записями.

> Дополнительно можно отметитьпубликацию (https://www.mail-archive.com/bind-announce@lists.isc.org/msg00535.html) 
> корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трёх уязвимостей:

> -  CVE-2018-5744 (https://lists.isc.org/pipermail/bind-announce/2019-February/001115.html) 
> может использоваться для вызова отказа в обслуживании через создание условий для 
> исчерпания доступной для процесса named  памяти. Проблема вызвана некорректным освобождением 
> памяти при обработке пакетов с определённым сочетанием опций EDNS. В случае 
> если на уровне операционной системы размер выделяемой процессу named памяти не 
> лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной 
> памяти.

> -  CVE-2019-6465 (https://lists.isc.org/pipermail/bind-announce/2019-February/001117.html) 
> - пользователь может запросить и получить содержимое DNS-зоны не имея на 
> это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только 
> для зон DLZ (Dynamically Loadable Zones), доступных на запись.

> -  CVE-2018-5745 (https://lists.isc.org/pipermail/bind-announce/2019-February/001116.html) 
> - возможность инициирование краха (assertion failure) процесса named при указании неподдерживаемого 
> в BIND алгоритма ключей DNSSEC при использовании режима "managed-keys". Уязвимость может 
> быть эксплуатировано только сто стороны доверенного DNS-сервера, указанного администраторм 
> в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не 
> столько атаками, сколько возможностью непреднамеренного проявления, например, когда 
> BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен 
> на использование для валидации DNSSEC сервера, который может использовать один из 
> этих алгоритмов.

> URL: https://www.mail-archive.com/bind-announce@lists.isc.org/msg00535.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50199

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру