12 Сентябрь 2019

Свой DNS-over-HTTPS сервер на базе веб-сервера H2O


Различные аспекты эксплуатации DNS уже неоднократно затрагивались автором в ряде статей опубликованных в рамках блога. При этом, основной акцент всегда делался на повышение безопасности этого ключевого для всего Интернет сервиса.

До последнего времени, несмотря на очевидность уязвимости DNS трафика, который, до сих пор, по большей части, передаётся в открытом виде, для злонамеренных действий со стороны провайдеров, стремящихся повысить своих доходы за счёт встраивания рекламы в контент, государственных силовых органов и цензуры, а также просто преступников, процесс усиления его защиты, несмотря на наличие различных технологий, таких как DNSSEC/DANE, DNScrypt, DNS-over-TLS и DNS-over-HTTPS, буксовал. И если серверные решения, в некоторые из них существуют уже довольно долгое время, широко известны и доступны, то поддержка их со стороны клиентского программного обеспечения оставляет желать много лучшего.

К счастью, ситуация меняется. В частности, разработчики популярного браузера Firefox заявили о планах по включению по умолчанию режима поддержки режима DNS-over-HTTPS (DoH) в ближайшее время. Это должно помочь защитить DNS трафик пользователя WWW от вышеупомянутых угроз, однако потенциально способно вызвать новые.

Читать далее

6 Сентябрь 2018

Обновление ключа корневой зоны DNS


В конце августа 2018 года ICANN выпустила напоминание о запланированном на октябрь текущего года обновлении ключа подписей Key Sigining Key (KSK) корневой зоны DNS который является ключевым звеном в цепочке доверия DNSSEC.

Впервые корневая зона "." была подписана в 2010 году и с тех пор ключи цифровой подписи не обновлялись ввиду ряда объективных причин, начиная с отсутствия разработанной безопасной процедуры этого обновления и заканчивая неизвестными побочными эффектами, которые могут возникнуть в процессе транзита. Ввиду того, что автор уже довольно подробно останавливался на вопросах механизмов функционирования DNSSEC, а также вопросах практического внедрения этого механизма, далее будут затронуты лишь практические аспекты грядущего обновления.

Читать далее

25 Март 2018

Безопасность и защита DNS трафика


Служба DNS или Domain Name System является базовым сервисом сети Интернет, а также иных сетей работающих на базе семейства протоколов TCP/IP, и используется для получение соответствия имени узла в сети соответствующему ему цифровому адресу.

Несмотря на столь простое описание DNS является, пожалуй, самой сложной по своей структуре и набору взаимодействий сетевой службой от надёжной работы которой зависит надёжная работа всех и вся.

Автор уже затрагивал вопросы функционирования DNS в цикле статей в разрезе наиболее современных и актуальных практических вопросов внедрения DNSSEC. Напомню, что DNSSEC обеспечивает удостоверение записей DNS при помощи цифровых подписей, чем защищает их от возможной подмены. Однако, при этом, все данные всегда передаются в открытом виде и никак не защищены от просмотра в процессе транзита и, при отсутствии цифровой подписи, при желании с лёгкостью могут быть модифицированы в тех или иных целях — от криминальных до цензурных.

Данная статья посвещена практическим способам защиты DNS трафика.

Читать далее

20 Декабрь 2017

Управление выбором исходящих IP адресов в Exim


В практике работы крупных почтовых систем и сервисов массовых почтовых рассылок одним из важных вопросов является проблема управлением выбором исходящих IP-адресов. Актуальность проблемы обусловлена рядом факторов, одним из которых является стандартное наличие ограничений на объём корреспонденции с одного IP, а также возможная вследствие этого или иных причин, к примеру, подозрений на рассылку спама, блокировка адресов.

В этой связи, обычной практикой для систем работающих с крупными объёмами электронной почты стало внедрение механизмов отслеживание возможных проблем и ротации используемого адресного пространства IP-адресов. Причём исходя из современной ситуации с исчерпанием свободной адресной ёмкости IPv4 и внедрением в массовую практику IPv6 работа с исходящим адресным пулом стала заметно сложнее.

Читать далее

3 Сентябрь 2017

Подключение дополнительных антивирусных баз к ClamAV


Антивирусный пакет ClamAV фактически стал стандартом антивирусной защиты для всех, как десктопных, так и серверных open-sourсе систем Также на базе технологий ClamAV существует и развивается несколько пакетов для защиты персональных компьютеров на базе операционных систем семейства Windows, среди которых я бы отдельно выделил Immunet, который единственный из всех существующих на рынке антивирусных мониторов был эффективен против эпидемии WannaCry на начальном этапе её распространения.

Долгая история развития ClamAV и активная работа сообщества специалистов в области антивирусной защиты позволили существенно расширить набор используемых приёмов и баз цифровых отпечатков, применяемых для обнаружения угроз. При этом официально поддерживаемые разработчиками базы самого ClamAV базы формируются с прицелом именно на распространение различного рода вирусов. Однако совеременные методы, используемые злоумышленниками, включают не только их, но всевозможные фишинговые, adware, spyware и другие механизмы. Именно этим моментам и уделено внимание в неофициальных базах для ClamAV, которые поддерживаются независимыми структурами.

Рассмотрим на практике процесс подключения неофициальных баз ClamAV.

Читать далее

1 Июль 2017

Хэширование публичных чёрных списков на базе DNS


Публичные чёрные и белые списки являются давно и широко используемой технологией в борьбе с рассылкой несанкционированной электронной почты или спамом. Наиболее распространённым вариантом таких списков являются так называемые DNSBL (они же RBL), когда доступ к информации предоставляется посредством особым способом оформленного DNS-запроса и ответа, на основании которого можно произвести оценку относится ли данный узел сети Интернет к добросовестным или, соответственно, наоборот отправителям электронной почты. Также к своего рода чёрным спискам, которые, в отличие от DNSBL, не используют систему DNS для доступа к данным, автор относит и службы оценки сообщений на основе контрольных сумм. Среди них наиболее известны Rhyolite DCC, Vipul's Razor и Pyzor. Неплохим подспорьем в оценке эффективности того или иного публичного списка может служить рейтинг Blacklist Monitor от немецкой компании Intra2net.

Читать далее