Obsah:
V dubnu byl holandský hacker zatčen za to, co se nazývá největším distribuovaným útokem na odmítnutí služby, jaký kdy byl zaznamenán. Útok byl spáchán na Spamhausu, organizaci zabývající se nevyžádanou poštou, a podle agentury ENISA, Evropské bezpečnostní agentury Evropské unie, zatížení infrastruktury Spamhausu dosáhlo 300 gigabitů za sekundu, což je trojnásobek předchozího záznamu. To také způsobilo velké přetížení internetu a zaseklo se internetová infrastruktura po celém světě.
Útoky DNS jsou samozřejmě velmi vzácné. Ale zatímco hacker v případě Spamhausu chtěl jen poškodit jeho cíl, větší následky útoku také poukázaly na to, co mnozí nazývají hlavní vadou v internetové infrastruktuře: Domain Name System. Výsledkem nedávných útoků na základní infrastrukturu DNS je, že technici i obchodníci hledali řešení. Tak co ty? Je důležité vědět, jaké možnosti máte k posílení infrastruktury DNS vaší firmy a jak fungují kořenové servery DNS. Pojďme se tedy podívat na některé problémy a na to, co podniky mohou udělat, aby se chránily. (Další informace o DNS v DNS: Jeden protokol pro všechny je.)
Stávající infrastruktura
Systém názvů domén (DNS) je z doby, kdy internet zapomněl. Ale to neznamená, že to jsou staré zprávy. Se stále se měnící hrozbou počítačových útoků se DNS v průběhu let podrobila velké kontrole. Ve svém počátcích DNS nenabízel žádné formy ověřování k ověření totožnosti odesílatele nebo příjemce dotazů DNS.
Ve skutečnosti po mnoho let byly servery se základními názvy nebo kořenové servery předmětem rozsáhlých a rozmanitých útoků. V dnešní době jsou geograficky různorodí a provozováni různými typy institucí, včetně vládních orgánů, obchodních subjektů a univerzit, aby si udrželi svou integritu.
Je ohromující, že některé útoky byly v minulosti poněkud úspěšné. Například v roce 2002 došlo k ochromujícímu útoku na infrastrukturu kořenového serveru (přečtěte si o tom zprávu zde). Ačkoli to nevytvořilo znatelný dopad pro většinu uživatelů internetu, přitahovalo pozornost FBI a amerického ministerstva vnitřní bezpečnosti, protože bylo vysoce profesionální a vysoce cílené, což ovlivnilo devět ze 13 operačních kořenových serverů. Pokud by to trvalo déle než jednu hodinu, experti říkají, že výsledky by mohly být katastrofické, což by znemožnilo použití prvků internetové DNS infrastruktury.
Porazit takovou nedílnou součást internetové infrastruktury by úspěšnému útočníkovi dalo velkou moc. Výsledkem je, že od té doby se na zabezpečení zabezpečení kořenové serverové infrastruktury použilo značné množství času a investic. (Zde si můžete prohlédnout mapu zobrazující kořenové servery a jejich služby.)
Zabezpečení DNS
Kromě základní infrastruktury je stejně důležité zvážit, jak robustní může být infrastruktura DNS vaší firmy proti útokům i neúspěchům. Je například běžné (a uvedeno v některých RFC), že jmenné servery by měly být umístěny ve zcela odlišných podsítích nebo sítích. Jinými slovy, pokud má poskytovatel ISP A úplnou výpadek a váš primární jmenný server spadne do režimu offline, bude ISP B stále poskytovat vaše klíčová data DNS každému, kdo o to požádá.
Rozšíření zabezpečení doménového jména (DNSSEC) jsou jedním z nejpopulárnějších způsobů, jak si firmy mohou zabezpečit svou vlastní serverovou infrastrukturu jmen. Jedná se o doplněk, který zajistí, že počítač připojující se k vašim jmenným serverům odpovídá tomu, co říká. DNSSEC také umožňuje ověřování pro identifikaci, odkud požadavky přicházejí, a také ověřování, že samotná data nebyla na cestě změněna. Vzhledem k veřejné povaze systému názvů domén však použitá kryptografie nezajišťuje důvěrnost údajů ani nemá žádnou koncepci její dostupnosti v případě, že některé části infrastruktury trpí selháním nějakého popisu.
K zajištění těchto mechanismů se používá řada konfiguračních záznamů, včetně typů záznamů RRSIG, DNSKEY, DS a NSEC. (Další informace naleznete v 12 vysvětlených záznamech DNS.)
RRISG se používá vždy, když je DNSSEC k dispozici jak stroji, který zadává dotaz, tak stroji, který jej odesílá. Tento záznam bude odeslán spolu s požadovaným typem záznamu.
DNSKEY obsahující podepsané informace může vypadat takto:
ripe.net má záznam DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Záznam DS nebo delegovaný podpisovatel se používá k ověření pravosti řetězce důvěryhodnosti, aby rodič a podřízená zóna mohli komunikovat s přidanou mírou pohodlí.
Položky NSEC nebo další zabezpečené položky v podstatě přejdou na další platnou položku v seznamu položek DNS. Je to metoda, kterou lze použít k vrácení neexistující položky DNS. To je důležité, aby pouze nakonfigurované položky DNS byly důvěryhodné jako skutečné.
NSEC3, vylepšený bezpečnostní mechanismus, který má pomoci zmírnit útoky ve slovníku, byl ratifikován v březnu 2008 v RFC 5155.
Příjem DNSSEC
Ačkoli mnoho zastánců investovalo do nasazení DNSSEC, není to bez jeho kritiků. Navzdory své schopnosti pomoci vyhnout se útokům, jako jsou útoky typu člověk-uprostřed, kde mohou být dotazy uneseny a nesprávně přiváděny k těm, kdo nevědomky generují dotazy DNS, existují údajné problémy s kompatibilitou s některými částmi stávající internetové infrastruktury. Hlavním problémem je to, že DNS obvykle používá protokol UDP s nižší hladinou šířky pásma, zatímco DNSSEC používá těžší přenosový kontrolní protokol (TCP) k předávání svých dat sem a tam pro větší spolehlivost a odpovědnost. Velké části staré infrastruktury DNS, které jsou doprovázeny miliony požadavků DNS 24 hodin denně, sedm dní v týdnu, nemusí být schopny zvýšit provoz. Přesto se mnozí domnívají, že DNSSEC je významným krokem k zabezpečení internetové infrastruktury.
I když v životě není zaručeno nic, může to nějakou dobu trvat, než zvážíte svá vlastní rizika, ale v budoucnu může zabránit mnoha nákladným bolestem hlavy. Například nasazením DNSSEC můžete zvýšit důvěru v části vaší klíčové infrastruktury DNS.