Obsah:
V apríli bol holandský hacker zatknutý za to, čo sa nazýva najväčším distribuovaným útokom na odmietnutie služby, aký bol kedy zaznamenaný. Útok bol spáchaný na antispamovej organizácii Spamhaus a podľa agentúry ENISA, agentúry pre bezpečnosť IT Európskej únie, zaťaženie infraštruktúry Spamhausu dosiahlo 300 gigabitov za sekundu, čo je trojnásobok predchádzajúceho záznamu. Spôsobilo to tiež veľké preťaženie internetu a zaseklo sa internetová infraštruktúra na celom svete.
Útoky DNS sú samozrejme zriedkavé. Zatiaľ čo hacker v prípade Spamhaus chcel iba poškodiť svoj cieľ, väčšie následky útoku tiež poukazovali na to, čo mnohí nazývajú hlavnou chybou v internetovej infraštruktúre: Domain Name System. Výsledkom nedávnych útokov na jadrovú infraštruktúru DNS je to, že technici aj obchodníci hľadali riešenia. A čo ty? Je dôležité vedieť, aké možnosti máte na posilnenie infraštruktúry DNS vašej firmy a ako fungujú koreňové servery DNS. Poďme sa teda pozrieť na niektoré z problémov a na to, čo môžu podniky urobiť, aby sa chránili. (Viac informácií o DNS v DNS: Jeden protokol na spravovanie všetkých.)
Existujúca infraštruktúra
Systém názvov domén (DNS) je od chvíle, kedy internet zabudol. Ale to neznamená, že to budú staré správy. Vzhľadom na neustále sa meniacu hrozbu počítačových útokov sa DNS v priebehu rokov podrobila veľkej kontrole. Vo svojom počiatku DNS neponúkala žiadne formy autentifikácie na overenie totožnosti odosielateľa alebo príjemcu DNS otázok.
V skutočnosti už mnoho rokov boli servery s veľmi základnými názvami alebo koreňové servery predmetom rozsiahlych a rozmanitých útokov. V súčasnosti sú geograficky rôznorodé a prevádzkované rôznymi typmi inštitúcií vrátane vládnych orgánov, obchodných subjektov a univerzít, aby si udržali svoju integritu.
Je prekvapujúce, že niektoré útoky boli v minulosti trochu úspešné. Napríklad v roku 2002 došlo k ochromujúcemu útoku na infraštruktúru koreňového servera (prečítajte si o tom správu tu). Aj keď to neviedlo k výraznému vplyvu pre väčšinu používateľov internetu, pritiahlo pozornosť FBI a amerického ministerstva vnútornej bezpečnosti, pretože to bolo vysoko profesionálne a vysoko cielené, čo ovplyvnilo deväť z 13 operačných koreňových serverov. Ak by to trvalo viac ako jednu hodinu, experti tvrdia, že výsledky by mohli byť katastrofické, čo by viedlo k tomu, že prvky internetovej infraštruktúry DNS budú zbytočné.
Poraziť takú integrálnu súčasť internetovej infraštruktúry by úspešnému útočníkovi dalo veľkú moc. Výsledkom je, že odteraz sa na otázku zabezpečenia infraštruktúry koreňového servera aplikovalo značné množstvo času a investícií. (Mapu s koreňovými servermi a ich službami si môžete pozrieť tu.)
Zabezpečenie DNS
Okrem základnej infraštruktúry je rovnako dôležité zvážiť, ako robustná môže byť infraštruktúra DNS vašej firmy proti útokom aj zlyhaniam. Napríklad (a uvedené v niektorých RFC) je bežné, že menné servery by sa mali nachádzať v úplne odlišných podsieťach alebo sieťach. Inými slovami, ak má poskytovateľ internetových služieb A plný výpadok a váš server primárnych mien spadne do režimu offline, poskytovateľ ISP B bude naďalej poskytovať vaše kľúčové údaje DNS každému, kto o to požiada.
Rozšírenia zabezpečenia doménového mena (DNSSEC) sú jedným z najpopulárnejších spôsobov, ako môžu firmy zabezpečiť svoju vlastnú infraštruktúru názvového servera. Jedná sa o doplnok, ktorý zaistí, že zariadenie pripájajúce sa k vašim menovým serverom je to, čo hovorí. DNSSEC tiež umožňuje autentifikáciu na identifikáciu toho, odkiaľ prichádzajú žiadosti, ako aj overenie, či sa samotné údaje na ceste nezmenili. Vzhľadom na verejný charakter systému názvov domén však použitá kryptografia nezabezpečuje dôvernosť údajov ani nemá predstavu o jej dostupnosti, ak by časti infraštruktúry utrpeli zlyhanie určitého opisu.
Na zabezpečenie týchto mechanizmov sa používa množstvo konfiguračných záznamov vrátane typov záznamov RRSIG, DNSKEY, DS a NSEC. (Viac informácií nájdete v 12 vysvetleniach DNS záznamov.)
RRISG sa používa vždy, keď je DNSSEC k dispozícii stroju odosielajúcemu aj odosielajúcemu dotaz. Tento záznam sa odosiela spolu s požadovaným typom záznamu.
DNSKEY obsahujúce podpísané informácie môže vyzerať takto:
ripe.net má záznam DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Záznam DS alebo delegovaný podpisovateľ sa používa na overenie reťazca dôveryhodnosti, aby rodič a dieťa mohli komunikovať s vyššou úrovňou pohodlia.
Položky NSEC alebo ďalšie zabezpečené položky v podstate preskočia na nasledujúcu platnú položku v zozname položiek DNS. Je to metóda, ktorá sa dá použiť na vrátenie neexistujúcej položky DNS. Je to dôležité, aby sa iba dôveryhodné položky DNS považovali za autentické.
NSEC3, vylepšený bezpečnostný mechanizmus na zmiernenie útokov v slovníku, bol ratifikovaný v marci 2008 v dokumente RFC 5155.
Príjem DNSSEC
Aj keď veľa navrhovateľov investovalo do nasadenia DNSSEC, nie je to bez jeho kritikov. Napriek svojej schopnosti zabrániť útokom, ako sú útoky typu človek v strede, kde môžu byť dotazy unesené a nesprávne privedené na nevedomky, ktoré vytvárajú dotazy DNS, existujú údajné problémy s kompatibilitou s určitými časťami existujúcej internetovej infraštruktúry. Hlavným problémom je to, že DNS zvyčajne používa protokol UDP s menšou šírkou pásma, zatiaľ čo server DNSSEC používa ťažší protokol riadenia prenosu (TCP) na odovzdávanie svojich údajov sem a tam, aby sa dosiahla väčšia spoľahlivosť a zodpovednosť. Veľké časti starej infraštruktúry DNS, ktoré sú preplnené miliónmi požiadaviek DNS 24 hodín denne, sedem dní v týždni, nemusia byť schopné zvýšiť prenos. Napriek tomu mnohí veria, že DNSSEC je dôležitým krokom k zabezpečeniu internetovej infraštruktúry.
Aj keď nie je zaručené nič v živote, nejaký čas na zváženie vašich vlastných rizík môže v budúcnosti zabrániť mnohým nákladným bolestiam hlavy. Napríklad nasadením DNSSEC môžete zvýšiť svoju dôveru v časti vašej kľúčovej infraštruktúry DNS.