یکی از تهدیدهای آنلاین حمله DNS است. در مطلب حمله DNS چیست، خواندیم که برای چه از DNS استفاده میکنیم، و چه خطرهایی سرورهای DNS و در ادامه کاربران را تهدید میکند. در ادامه میخوانیم که چگونه میتوانیم از حمله DNS جلوگیری کنیم.
- Resolver خود را امن و خصوصی نگاه دارید. اگر از Resolver شخصی استفاده میکنید، باید دسترسی آن را محدود کنید. فقط کاربرانی دسترسی داشته باشند که مورد اعتماد شما هستند. برای اینکه بدانید در شبکهتان Resolver باز وجود دارد یا نه میتوانید از Measurement Factory’s online tool استفاده کنید.
- تنظیمات را به گونهای انجام دهید که در برابر cache poisoning امن باشد :
- به جای استفاده از پورت ۵۳ UDP از شماره پورتهای تصادفی استفاده کنید
- Query ID را تصادفی کنید.
- حروف نام دامنهای که برای گرفتن IP به Resolver فرستاده شدهاند را به طور تصادفی کوچک و بزرگ کنید.
- سرور DNS خود را به طور امن مدیریت کنید.
اگر شما میزبان سرور DNS تان هستید :
- گرفتار آسیبپذیریهای شناخته شده نشوید. اگر DNS سرور خودتان را اجرا میکنید، هوشیار باشید که تمام پچها را نصب کرده باشید و سرور و نرمافزارهایش را به روز نگاه دارید.
- با استفاده از سرورهای جداگانه، توابع resolver و authoritative را از هم جدا کنید. این حرکت باعث میشود در اثر حمله DoS سرور شما Off نشود.
- سرور نام دامنه اصلی خود را مخفی نگاه دارید.
- سرور نام دامنه خود را مانیتور کنید. مطمئن باشید که کوچکترین تغییرات در این سرور از دید شما مخفی نماند.
- برای محافظت از سرورتان از PKI استفاده کنید.
- پورتها و سرویسهایی که رد سرورتان به آنها نیازی ندارید را بسته یا غیرفعال کنید.
اگر از Domain Name Registrar استفاده میکنید :
اگر سرور نام دامنه شما توسط Registrar یا واسطههای دیگر مدیریت میشود، باید مطمئن شوید که امنیت را برقرار میکنند. گزینههای زیر به شما کمک میکنند که از برقراری امنیت در Registrarها مطمئن شوید :
- احراز هویت دو عامله (Two factor authentication)
- قفل تغییرات سرور نام دامنه (DNS change locking)
- ورود IP های مشخص شده (IP-dependent log in)
- DNSSEC
2 Comments
Pingback: ۹ عبارت امنیت سایبری که باید با آنها آشنا باشید - کنشتک
Pingback: اینفوگرافیک حمله DNS Poisoning چیست و چگونه کار میکند؟ - کنشتک