ЗАЩИЩЕННЫЙ DNS-КЛИЕНТ
|
Введение 4
1 Система доменных имен 8
2 Оценка рисков информационной безопасности DNS-клиента 12
2.1 Определение ценности активов 12
2.2 Идентификация угроз информационной безопасности 13
2.3 Идентификация уязвимостей 19
2.4 Идентификация сценариев инцидентов 21
2.5 Оценивание рисков DNS-клиента 23
3 Выбор способа обработки рисков 30
4 Выбор защитных мер 33
5 Разработка архитектуры DNS-клиента 42
6 Программная реализация функции DNS-запроса для прикладных
программ 52
7 Программная реализация защищенного DNS-клиента 61
7.1 Реализация главной функции 61
7.2 Реализация функции подключения к именованному каналу 68
7.3 Реализация функции принятия DNS-запроса от программы 69
7.4 Реализация функции обработки принятого DNS-ответа 88
7.5 Реализация функции журналирования DNS-клиента 117
8 Проверка работоспособности DNS-клиента 120
9 Разработка руководства пользователя DNS-клиента 127
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 128
Заключение 130
Список используемых источников 131
Приложение А Диаграмма вариантов использования 133
Приложение Б Руководство пользователя DNS-клиента
1 Система доменных имен 8
2 Оценка рисков информационной безопасности DNS-клиента 12
2.1 Определение ценности активов 12
2.2 Идентификация угроз информационной безопасности 13
2.3 Идентификация уязвимостей 19
2.4 Идентификация сценариев инцидентов 21
2.5 Оценивание рисков DNS-клиента 23
3 Выбор способа обработки рисков 30
4 Выбор защитных мер 33
5 Разработка архитектуры DNS-клиента 42
6 Программная реализация функции DNS-запроса для прикладных
программ 52
7 Программная реализация защищенного DNS-клиента 61
7.1 Реализация главной функции 61
7.2 Реализация функции подключения к именованному каналу 68
7.3 Реализация функции принятия DNS-запроса от программы 69
7.4 Реализация функции обработки принятого DNS-ответа 88
7.5 Реализация функции журналирования DNS-клиента 117
8 Проверка работоспособности DNS-клиента 120
9 Разработка руководства пользователя DNS-клиента 127
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 128
Заключение 130
Список используемых источников 131
Приложение А Диаграмма вариантов использования 133
Приложение Б Руководство пользователя DNS-клиента
DNS служба является критичным и важным компонентом сети Интернет. Она предназначена для преобразования доменных имен, удобных для пользователей, в IP-адреса и представляет собой иерархически организованную распределенную базу данных.
Центральная роль службы DNS делает ее, с одной стороны, желанной целью атакующего, поскольку нарушение работы DNS наносит огромный ущерб работе сети, а с другой мощным средством для проведения атак на другие сетевые программные средства. При разработке DNS протокола в 1980-х годах безопасность не была приоритетом.
Актуальность данной темы обусловлена, тем что система DNS является мощным средством для проведения атак на другое системное и прикладное ПО, и именно DNS-клиент принимает решение, какие DNS-ответы принять, а какие отбросить и не передавать прикладным программам, значит особое внимание безопасности необходимо уделить именно DNS-клиенту. Кроме того, в квалификационной работе будут реализованы защитные механизмы, которые отсутствуют в стандартном DNS-клиенте в ОС Windows 10, а именно:
— использование протокола TSIG;
— выбор случайного DNS-сервера;
— использование букв разного регистра в доменном имени при запросе;
— подпись файла hosts, содержащего локальную базу данных доменных имен, с помощью вычисления хеш-суммы с ключом;
— аутентификация DNS-клиента и DNS-сервера с помощью DNS- Cookies.
Целью дипломного проекта является разработка защищенного DNS- клиента. Защищенный DNS-клиент предназначен для безопасного выполнения DNS-запросов к DNS-серверам и получения DNS-ответов на них.
Требования для защищенного DNS-клиента следующие:
— DNS-клиент должен функционировать в операционной системе Windows 10;
— DNS-клиент должен поддерживать типы DNS-записей, описанные в RFC 1035 «Domain names - implementation and specification»:
— узел IPv4 (тип A);
— узел IPv6 (тип AAAA);
— псевдоним (тип CNAME);
— ответственный DNS-сервер (тип NS);
— расположение службы (тип SRV);
— почтовый сервер (тип MX);
— указатель (тип PTR);
— текст (тип TXT);
— DNS-клиент должен поддерживать тип DNS-записи OPT,
описанный в RFC 1035 «Extension Mechanisms for DNS (EDNS(0))»;
— DNS-клиент должен поддерживать тип DNS-записи TSIG,
описанный в RFC 2845 «Secret Key Transaction Authentication for DNS»;
— DNS-клиент должен поддерживать отправку DNS-запросов с использованием протоколов транспортного уровня TCP и UDP;
— в DNS-клиенте должны быть реализованы следующие защитные механизмы из RFC 5452 «Measures for Making DNS More Resilient against Forged Answers»:
— DNS-клиент должен отклонить DNS-ответ, если секции
«запрос» отправленного и принятого DNS-пакета не совпадают;
— DNS-клиент должен отклонить DNS-ответ, если
идентификатор DNS-ответа не совпадает с идентификатором DNS-запроса;
— DNS-клиент должен отклонить DNS-ответ, если IP-адрес и порт DNS-сервера не совпадают в DNS-запросе и DNS-ответе;
DNS-клиент должен отправлять DNS-запросы со случайного порта;
— идентификатор DNS-запроса должен быть случайным;
— при получении трёх некорректных DNS-ответов, инкапсулированных в UDP-датаграммы, DNS-клиент должен отправить повторно DNS-запрос по протоколу TCP;
— DNS-клиент должен игнорировать принятые DNS-ответы, которые содержат доменные имена, не относящиеся к доменному имени из секции «запрос»;
— в DNS-клиенте должно быть реализовано использование случайного регистра букв в имени домена при DNS-запросе по RFC «Use of Bit 0x20 in DNS Labels to Improve Transaction Identity»;
— в DNS-клиенте должен быть реализован механизм случайного выбора DNS-сервера;
— DNS-клиент должен иметь возможность подписывать файл hosts, содержащий локальную базу данных доменных имен;
— DNS-клиент должен поддерживать протокол TSIG по RFC 2845 «Secret Key Transaction Authentication for DNS» для проверки подлинности DNS-сервера и целостности DNS-ответов;
— DNS-клиент должен поддерживать механизм DNS Cookie по RFC 7873 «Domain Name System (DNS) Cookies» для аутентификации DNS-клиента и DNS-сервера;
— в DNS-клиенте должно быть реализовано ведение журнала аудита DNS-клиента.
В ходе дипломного проектирования будут рассмотрены следующие вопросы:
— описание DNS-клиента;
— описание угроз информационной безопасности DNS-клиента;
— описание уязвимостей DNS-клиента;
— оценка рисков информационной безопасности DNS-клиента;
— описание выбранных защитных мер DNS-клиента;
— разработка архитектуры DNS-клиента;
— реализация защищенного DNS-клиента;
— проверка работоспособности DNS-клиента;
— обзор вредных психофизиологические факторов, влияющих на психоэмоциональное состояние специалиста по защите информации и методов и средств физической культуры, снижающие их воздействие;
— разработка руководства пользователя DNS-клиента.
Центральная роль службы DNS делает ее, с одной стороны, желанной целью атакующего, поскольку нарушение работы DNS наносит огромный ущерб работе сети, а с другой мощным средством для проведения атак на другие сетевые программные средства. При разработке DNS протокола в 1980-х годах безопасность не была приоритетом.
Актуальность данной темы обусловлена, тем что система DNS является мощным средством для проведения атак на другое системное и прикладное ПО, и именно DNS-клиент принимает решение, какие DNS-ответы принять, а какие отбросить и не передавать прикладным программам, значит особое внимание безопасности необходимо уделить именно DNS-клиенту. Кроме того, в квалификационной работе будут реализованы защитные механизмы, которые отсутствуют в стандартном DNS-клиенте в ОС Windows 10, а именно:
— использование протокола TSIG;
— выбор случайного DNS-сервера;
— использование букв разного регистра в доменном имени при запросе;
— подпись файла hosts, содержащего локальную базу данных доменных имен, с помощью вычисления хеш-суммы с ключом;
— аутентификация DNS-клиента и DNS-сервера с помощью DNS- Cookies.
Целью дипломного проекта является разработка защищенного DNS- клиента. Защищенный DNS-клиент предназначен для безопасного выполнения DNS-запросов к DNS-серверам и получения DNS-ответов на них.
Требования для защищенного DNS-клиента следующие:
— DNS-клиент должен функционировать в операционной системе Windows 10;
— DNS-клиент должен поддерживать типы DNS-записей, описанные в RFC 1035 «Domain names - implementation and specification»:
— узел IPv4 (тип A);
— узел IPv6 (тип AAAA);
— псевдоним (тип CNAME);
— ответственный DNS-сервер (тип NS);
— расположение службы (тип SRV);
— почтовый сервер (тип MX);
— указатель (тип PTR);
— текст (тип TXT);
— DNS-клиент должен поддерживать тип DNS-записи OPT,
описанный в RFC 1035 «Extension Mechanisms for DNS (EDNS(0))»;
— DNS-клиент должен поддерживать тип DNS-записи TSIG,
описанный в RFC 2845 «Secret Key Transaction Authentication for DNS»;
— DNS-клиент должен поддерживать отправку DNS-запросов с использованием протоколов транспортного уровня TCP и UDP;
— в DNS-клиенте должны быть реализованы следующие защитные механизмы из RFC 5452 «Measures for Making DNS More Resilient against Forged Answers»:
— DNS-клиент должен отклонить DNS-ответ, если секции
«запрос» отправленного и принятого DNS-пакета не совпадают;
— DNS-клиент должен отклонить DNS-ответ, если
идентификатор DNS-ответа не совпадает с идентификатором DNS-запроса;
— DNS-клиент должен отклонить DNS-ответ, если IP-адрес и порт DNS-сервера не совпадают в DNS-запросе и DNS-ответе;
DNS-клиент должен отправлять DNS-запросы со случайного порта;
— идентификатор DNS-запроса должен быть случайным;
— при получении трёх некорректных DNS-ответов, инкапсулированных в UDP-датаграммы, DNS-клиент должен отправить повторно DNS-запрос по протоколу TCP;
— DNS-клиент должен игнорировать принятые DNS-ответы, которые содержат доменные имена, не относящиеся к доменному имени из секции «запрос»;
— в DNS-клиенте должно быть реализовано использование случайного регистра букв в имени домена при DNS-запросе по RFC «Use of Bit 0x20 in DNS Labels to Improve Transaction Identity»;
— в DNS-клиенте должен быть реализован механизм случайного выбора DNS-сервера;
— DNS-клиент должен иметь возможность подписывать файл hosts, содержащий локальную базу данных доменных имен;
— DNS-клиент должен поддерживать протокол TSIG по RFC 2845 «Secret Key Transaction Authentication for DNS» для проверки подлинности DNS-сервера и целостности DNS-ответов;
— DNS-клиент должен поддерживать механизм DNS Cookie по RFC 7873 «Domain Name System (DNS) Cookies» для аутентификации DNS-клиента и DNS-сервера;
— в DNS-клиенте должно быть реализовано ведение журнала аудита DNS-клиента.
В ходе дипломного проектирования будут рассмотрены следующие вопросы:
— описание DNS-клиента;
— описание угроз информационной безопасности DNS-клиента;
— описание уязвимостей DNS-клиента;
— оценка рисков информационной безопасности DNS-клиента;
— описание выбранных защитных мер DNS-клиента;
— разработка архитектуры DNS-клиента;
— реализация защищенного DNS-клиента;
— проверка работоспособности DNS-клиента;
— обзор вредных психофизиологические факторов, влияющих на психоэмоциональное состояние специалиста по защите информации и методов и средств физической культуры, снижающие их воздействие;
— разработка руководства пользователя DNS-клиента.
В ходе работы было произведено описание принципа работы системы DNS и DNS-клиента. Были идентифицированы и описаны угрозы информационной безопасности DNS-клиента. Были идентифицированы и описаны уязвимости DNS-клиента. Была произведена оценка рисков информационной безопасности DNS-клиента. Были описаны выбранные защитные меры DNS-клиента.
Была разработана архитектура DNS-клиента. Была разработана диаграмма вариантов использования и алгоритмы работы DNS-клиента.
Была выполнена программная реализация DNS-клиента, библиотека для работы с DNS-клиентом для прикладных программ и утилита DNSLookup для проверки работоспособности DNS-клиента.
С помощью разработанной утилиты DNSLookup была проведена проверка работоспособности DNS-клиента.
Было разработано руководство пользователя DNS-клиента.
Были изучены вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации, а так же методы и средств физической культуры, снижающие их воздействие.
Таким образом, все пункты технического задания выполнены в полном объеме.
Была разработана архитектура DNS-клиента. Была разработана диаграмма вариантов использования и алгоритмы работы DNS-клиента.
Была выполнена программная реализация DNS-клиента, библиотека для работы с DNS-клиентом для прикладных программ и утилита DNSLookup для проверки работоспособности DNS-клиента.
С помощью разработанной утилиты DNSLookup была проведена проверка работоспособности DNS-клиента.
Было разработано руководство пользователя DNS-клиента.
Были изучены вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации, а так же методы и средств физической культуры, снижающие их воздействие.
Таким образом, все пункты технического задания выполнены в полном объеме.
Подобные работы
- ПРОЕКТИРОВАНИЕ МУЛЬТИСЕРВИСНОЙ СЕТИ СВЯЗИ В ЖИЛОМ КОМПЛЕКСЕ «МЕЧТА» Г. ЕКАТЕРИНБУРГ
Дипломные работы, ВКР, информационные системы. Язык работы: Русский. Цена: 4775 р. Год сдачи: 2017 - ПРОЕКТИРОВАНИЕ МУЛЬТИСЕРВИСНОЙ СЕТИ СВЯЗИ В ЖИЛОМ КОМПЛЕКСЕ «СВЕТЛЫЙ» Г. ЕКАТЕРИНБУРГ
Дипломные работы, ВКР, информационные системы. Язык работы: Русский. Цена: 4370 р. Год сдачи: 2017 - PR – технологии в межгосударственной политике развития Арктической зоны Российской Федерации»
Магистерская диссертация, международные отношения. Язык работы: Русский. Цена: 4910 р. Год сдачи: 2019 - Разработка автоматизированной системы аутентификации пользователей для доступа в интернет
Дипломные работы, ВКР, информатика. Язык работы: Русский. Цена: 4260 р. Год сдачи: 2020