Spisu treści:
W kwietniu holenderski haker został aresztowany za tak zwany największy rozproszony atak typu „odmowa usługi”, jaki kiedykolwiek miał miejsce. Atak został popełniony na Spamhaus, organizacji antyspamowej, i według ENISA, agencji bezpieczeństwa informatycznego Unii Europejskiej, obciążenie infrastruktury Spamhaus osiągnęło 300 gigabitów na sekundę, trzy razy więcej niż poprzednio. Spowodowało to również duże przeciążenie Internetu i zablokowało infrastrukturę internetową na całym świecie.
Oczywiście ataki DNS nie są rzadkie. Ale podczas gdy haker w sprawie Spamhaus chciał tylko zaszkodzić swojemu celowi, większe konsekwencje ataku wskazywały również na to, co wielu nazywa poważną wadą infrastruktury internetowej: system nazw domen. W wyniku niedawnych ataków na podstawową infrastrukturę DNS technicy i biznesmeni zaczęli szukać rozwiązań. Więc co z Tobą? Ważne jest, aby wiedzieć, jakie masz opcje wzmocnienia infrastruktury DNS własnej firmy, a także jak działają serwery główne DNS. Rzućmy więc okiem na niektóre problemy i co firmy mogą zrobić, aby się chronić. (Dowiedz się więcej o DNS w DNS: jeden protokół do rządzenia nimi wszystkimi).
Istniejąca infrastruktura
System nazw domen (DNS) pochodzi z czasów, gdy Internet zapomniał. Ale to nie czyni z tego starych wiadomości. W związku z ciągle zmieniającym się zagrożeniem cyberatakami DNS był przez lata poddawany dużej kontroli. W powijakach DNS nie oferował żadnych form uwierzytelnienia w celu weryfikacji tożsamości nadawcy lub odbiorcy zapytań DNS.
W rzeczywistości przez wiele lat bardzo podstawowe serwery nazw lub serwery root podlegały rozległym i różnorodnym atakom. Obecnie są one zróżnicowane geograficznie i obsługiwane przez różnego rodzaju instytucje, w tym instytucje rządowe, podmioty komercyjne i uniwersytety, w celu zachowania ich integralności.
Niepokojące jest to, że niektóre ataki w przeszłości były nieco udane. Na przykład okaleczający atak na infrastrukturę serwera root miał miejsce w 2002 r. (Przeczytaj raport na ten temat tutaj). Chociaż nie wywarł zauważalnego wpływu na większość użytkowników Internetu, zwrócił uwagę FBI i Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, ponieważ był wysoce profesjonalny i wysoce ukierunkowany, wpływając na dziewięć z 13 działających serwerów root. Eksperci twierdzą, że gdyby trwał on dłużej niż godzinę, wyniki mogłyby być katastrofalne, powodując, że elementy infrastruktury DNS w Internecie byłyby praktycznie bezużyteczne.
Pokonanie tak integralnej części infrastruktury Internetu dałoby skutecznemu atakującemu ogromną moc. W rezultacie znaczna ilość czasu i inwestycji została poświęcona kwestii zabezpieczenia infrastruktury serwerów root. (Możesz sprawdzić mapę pokazującą serwery root i ich usługi tutaj.)
Zabezpieczanie DNS
Oprócz podstawowej infrastruktury równie ważne jest rozważenie, jak solidna może być infrastruktura DNS Twojej firmy, zarówno w przypadku ataku, jak i awarii. Na przykład (i stwierdzone w niektórych dokumentach RFC) powszechne jest, że serwery nazw powinny znajdować się w całkowicie różnych podsieciach lub sieciach. Innymi słowy, jeśli dostawca usług internetowych ma całkowitą awarię, a twój podstawowy serwer nazw spadnie do trybu offline, to dostawca usług internetowych B nadal będzie udostępniać twoje kluczowe dane DNS wszystkim, którzy tego zażądają.
Rozszerzenia bezpieczeństwa systemu nazw domen (DNSSEC) to jeden z najpopularniejszych sposobów zabezpieczania własnej infrastruktury serwerów nazw. Są to dodatki zapewniające, że komputer łączący się z twoimi serwerami nazw jest taki, jak mówi. DNSSEC pozwala również na uwierzytelnianie w celu identyfikacji, skąd pochodzą żądania, a także na sprawdzenie, czy same dane nie zostały zmienione w drodze. Jednak ze względu na publiczny charakter systemu nazw domen, zastosowana kryptografia nie zapewnia poufności danych, ani nie ma pojęcia o jej dostępności w przypadku awarii niektórych elementów infrastruktury.
Do zapewnienia tych mechanizmów wykorzystuje się szereg rekordów konfiguracji, w tym typy rekordów RRSIG, DNSKEY, DS i NSEC. (Aby uzyskać więcej informacji, zapoznaj się z wyjaśnieniem 12 rekordów DNS).
RRISG jest używany, gdy DNSSEC jest dostępny zarówno dla maszyny wysyłającej zapytanie, jak i wysyłającej. Ten rekord jest wysyłany wraz z żądanym typem rekordu.
Klucz DNS zawierający podpisane informacje może wyglądać następująco:
ripe.net ma zapis DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Rekord DS lub delegowany sygnatariusz służy do uwierzytelnienia łańcucha zaufania, dzięki czemu strefa nadrzędna i podrzędna mogą komunikować się z większym komfortem.
Pozycje NSEC lub następne bezpieczne wpisy zasadniczo przeskakują do następnego prawidłowego wpisu na liście wpisów DNS. Jest to metoda, za pomocą której można zwrócić nieistniejący wpis DNS. Jest to ważne, aby zaufane były tylko skonfigurowane wpisy DNS jako autentyczne.
NSEC3, ulepszony mechanizm bezpieczeństwa, który pomaga złagodzić ataki typu słownikowego, został ratyfikowany w marcu 2008 r. W RFC 5155.
Odbiór DNSSEC
Chociaż wielu zwolenników zainwestowało we wdrożenie DNSSEC, nie jest to bez jego krytyki. Pomimo jego zdolności do unikania ataków, takich jak ataki typu man-the-the-middle, w których zapytania mogą być przejmowane i niepoprawnie dostarczane do osób generujących zapytania DNS, istnieją domniemane problemy ze zgodnością z niektórymi częściami istniejącej infrastruktury internetowej. Głównym problemem jest to, że DNS zwykle używa mniej wymagającego pasma protokołu UDP (User Datagram Protocol), podczas gdy DNSSEC używa cięższego protokołu kontroli transmisji (TCP) do przesyłania swoich danych tam iz powrotem w celu zwiększenia niezawodności i odpowiedzialności. Duża część starej infrastruktury DNS, która jest zasypywana milionami żądań DNS 24 godziny na dobę, siedem dni w tygodniu, może nie być w stanie zwiększyć ruchu. Mimo to wielu uważa, że DNSSEC jest ważnym krokiem w kierunku zabezpieczenia infrastruktury internetowej.
Chociaż nic w życiu nie jest gwarantowane, poświęcenie czasu na rozważenie własnego ryzyka może zapobiec wielu kosztownym bólom głowy w przyszłości. Wdrażając na przykład DNSSEC, możesz zwiększyć zaufanie do części kluczowej infrastruktury DNS.