بوها سرور DNS یک مؤلفه مهم در هر شبکه است و نام دامنه را به آدرس های IP ترجمه می کند. با این حال ، حملات مبتنی بر DNS– به عنوان کلاهبرداری DNS ، مسمومیت حافظه پنهان و حملات DDOS – می تواند خدمات را مختل کنید یا امنیت سازش برای جلوگیری از چنین تهدیداتی ، ضروری است سخت شدن سرور DNS شما با استفاده از بهترین روشهای امنیتی.
این راهنما طی می شود اقدامات امنیتی عملی برای محافظت از سرور Red Hat Linux DNS.
1. چرا امنیت DNS
- مانع شدن تغییر DNS غیرمجاز، که می تواند کاربران را به سایت های مخرب هدایت کند.
- دفاع در برابر مسموم کننده، متوقف کردن مهاجمان از تزریق داده های DNS کاذب.
- بلوک حملات انکار سرویس (DOS)، اطمینان از به روزرسانی پایدار و مداوم.
- تقویت کردن امنیت کلی شبکه، محافظت از سیستم های متصل.
2. نمایش داده های بازگشتی را برای کاربران خارجی غیرفعال کنید
نمایش داده های بازگشتی DNS به سرور DNS اجازه می دهد برای پاسخ ها جستجو کنید فراتر از منطقه پیکربندی شده آن. اگر برای عموم آزاد باشد، مهاجمان می توانند از این ویژگی سوءاستفاده کنند تا سرور را با درخواست ها سیل کنند.
مراحل غیرفعال کردن نمایش داده های بازگشتی
- پرونده پیکربندی Bind DNS را ویرایش کنید:
sudo nano /etc/named.conf
- مکان یابی
optionsبخش و اصلاح آن:
options {
recursion no;
allow-query { localhost; };
};
sudo systemctl restart named
اکنون ، فقط کاربران داخلی قابل اعتماد می توانند جستجوهای بازگشتی را انجام دهند.
3. نقل و انتقالات منطقه را محدود کنید
DNS انتقال منطقه اجازه دهید تکثیر DNS بین سرورها باشد. اگر محدود نشده است، مهاجمان می توانند از این ویژگی برای استخراج استفاده کنند همه سوابق دامنه و شبکه را نقشه برداری کنید.
نحوه مسدود کردن نقل و انتقالات منطقه غیرمجاز
- پرونده پیکربندی منطقه DNS را باز کنید:
sudo nano /etc/named.conf
- انتقال منطقه را به آدرس های IP خاص محدود کنید:
zone "example.local" IN {
type master;
file "/var/named/example.local.zone";
allow-transfer { 192.168.1.2; 192.168.1.3; };
};
sudo systemctl restart named
اکنون ، فقط سرورهای تعیین شده می توانند داده های منطقه را منتقل کنند.
4. DNSSEC را قادر به محافظت در برابر کلاهبرداری کنید
DNSSEC (پسوندهای امنیتی DNS) آن را تضمین می کند پاسخ های DNS تأیید شده استجلوگیری از تزریق مهاجمان از سوابق جعلی DNS.
مراحل فعال کردن DNSSEC
sudo dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.local
- کلیدهای تولید شده را به پرونده منطقه DNS اضافه کنید:
sudo nano /var/named/example.local.zone
- اعتبار سنجی DNSSEC را فعال کنید:
sudo nano /etc/named.conf
اضافه کردن:
dnssec-validation yes;
sudo systemctl restart named
اکنون ، پاسخ های DNS برای جلوگیری از کلاهبرداری به صورت رمزنگاری تأیید می شوند.
5. برای جلوگیری از حملات سیل DNS ، محدودیت نرخ را پیکربندی کنید
محدودیت نرخ DNS کمک می کند درخواست های بیش از حد را مسدود کنید این می تواند سرور شما را تحت الشعاع قرار دهد.
چگونه می توان محدود کردن نرخ را فعال کرد
- پرونده پیکربندی Bind را باز کنید:
sudo nano /etc/named.conf
- تنظیمات زیر را اضافه کنید:
rate-limit {
responses-per-second 5;
window 5;
};
sudo systemctl restart named
اکنون ، سرور درخواست های بیش از حد از یک منبع واحد را مسدود می کند و خطر حملات DDOS مبتنی بر DNS را کاهش می دهد.
6. فعالیت DNS را کنترل و ورود به سیستم کنید
منظم تجزیه و تحلیل ورود به سیستم DNS به تشخیص کمک می کند ترافیک غیرمعمول، نمایش داده های غیرمجاز یا نقض احتمالی.
ورود به سیستم برای نمایش داده های DNS را فعال کنید
- پیکربندی ورود به سیستم Bind را باز کنید:
sudo nano /etc/named.conf
logging {
channel query_log {
file "/var/log/named_queries.log";
severity info;
print-time yes;
};
category queries { query_log; };
};
sudo systemctl restart named
sudo tail -f /var/log/named_queries.log
افکار نهایی
امنیت سرور DNS خود در Red Hat Linux از زیرساخت های شما در برابر تهدیدهای سایبری محافظت می کند، حصول قابلیت اطمینان شبکه و یکپارچگی داده هابشر با اجرای DNSSEC ، محدودیت های دسترسی ، محدود کردن نرخ و ورود به سیستم، شما تقویت می کنید دفاع در برابر حملات در حالی که حفظ محیط DNS پایداربشر
