Cuprins:
În aprilie, un hacker olandez a fost arestat pentru ceea ce se numește cel mai mare atac distribuit de refuz al serviciului văzut vreodată. Atacul a fost săvârșit pe Spamhaus, o organizație anti-spam și, conform ENISA, agenția de securitate IT a Uniunii Europene, sarcina pe infrastructura Spamhaus a ajuns la 300 de gigabits pe secundă, de trei ori mai mare decât recordul anterior. De asemenea, a provocat congestii majore pe Internet și a blocat infrastructura de internet la nivel mondial.
Desigur, atacurile DNS sunt cu greu rare. Dar, în timp ce hackerul din cazul Spamhaus nu a făcut decât să-i facă rău țintei sale, ramificările mai mari ale atacului au indicat și ceea ce mulți numesc un defect major în infrastructura de Internet: sistemul de nume de domeniu. Drept urmare, recentele atacuri asupra infrastructurii DNS de bază au lăsat tehnicienii și oamenii de afaceri deopotrivă să caute soluții. Așadar despre tine? Este important să știți ce opțiuni aveți pentru a consolida infrastructura DNS a afacerii proprii, precum și modul în care operează serverele rădăcină DNS. Așadar, să aruncăm o privire la unele dintre probleme și ce pot face întreprinderile pentru a se proteja. (Aflați mai multe despre DNS în DNS: Un protocol pentru a le regla pe toate.)
Infrastructura existentă
Sistemul de nume de domeniu (DNS) este de pe vremea când Internetul a uitat. Dar asta nu face vești vechi. Odată cu amenințarea în continuă schimbare de atacuri cibernetice, DNS a fost supus unui mare control de-a lungul anilor. Încă de la început, DNS nu a oferit nicio formă de autentificare pentru a verifica identitatea unui expeditor sau a unui receptor de interogări DNS.
De fapt, de mai mulți ani, serverele de nume foarte corecte sau serverele root au fost supuse unor atacuri extinse și variate. În aceste zile sunt diverse din punct de vedere geografic și sunt operate de diferite tipuri de instituții, inclusiv organisme guvernamentale, entități comerciale și universități, pentru a-și menține integritatea.
În mod alarmant, unele atacuri au avut oarecum succes în trecut. Un atac inactiv asupra infrastructurii serverului rădăcină, de exemplu, a avut loc în 2002 (citiți un raport despre aceasta aici). Deși nu a creat un impact vizibil pentru majoritatea utilizatorilor de internet, a atras atenția FBI și Departamentul de securitate internă din SUA, deoarece a fost extrem de profesionist și foarte țintit, afectând nouă dintre cele 13 servere rădăcină care operează. Dacă ar fi persistat mai mult de o oră, spun specialiștii, rezultatele ar fi putut fi catastrofale, ceea ce face ca elementele din infrastructura DNS de pe Internet să fie inutile.
A învinge o astfel de parte integrantă a infrastructurii Internetului ar oferi unui atacator de succes o mare cantitate de putere. Drept urmare, de atunci s-au aplicat timp și investiții semnificative în problema securizării infrastructurii serverului rădăcină. (Puteți consulta o hartă care prezintă serverele root și serviciile lor aici.)
Securizarea DNS
În afară de infrastructura de bază, este la fel de important să luăm în considerare cât de robustă ar putea fi infrastructura DNS a afacerii dvs. atât împotriva atacului, cât și a eșecului. Este de exemplu (de exemplu, și menționat în unele RFC) că serverele de nume trebuie să aibă reședințe pe sub-rețele sau cu totul diferite rețele. Cu alte cuvinte, dacă ISP A are o întrerupere completă și serverul dvs. de nume primar nu este deconectat, ISP B va furniza în continuare datele dvs. DNS cheie pentru oricine o solicită.
Extensiile de securitate a sistemului de nume de domeniu (DNSSEC) sunt una dintre cele mai populare modalități prin care întreprinderile își pot securiza propria infrastructură de server de nume. Acestea sunt un supliment pentru a vă asigura că mașina care se conectează la serverele dvs. de nume este ceea ce spune că este. DNSSEC permite, de asemenea, autentificarea pentru a identifica de unde provin solicitările, precum și pentru a verifica dacă datele în sine nu au fost schimbate pe ruta. Cu toate acestea, datorită naturii publice a Sistemului de nume de domeniu, criptografia utilizată nu asigură confidențialitatea datelor și nici nu are niciun concept despre disponibilitatea acestora în cazul în care părțile din infrastructură suferă o defecțiune a unei descrieri.
O serie de înregistrări de configurare sunt utilizate pentru a furniza aceste mecanisme, inclusiv tipurile de înregistrări RRSIG, DNSKEY, DS și NSEC. (Pentru mai multe informații, consultați 12 înregistrări DNS explicate.)
RRISG este utilizat de fiecare dată când DNSSEC este disponibil atât pentru mașina care trimite interogarea, cât și pentru cea care o trimite. Această înregistrare este trimisă împreună cu tipul de înregistrare solicitat.
Un DNSKEY care conține informații semnate ar putea arăta astfel:
ripe.net are un record DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Înregistrarea DS, sau semnătura delegată, este utilizată pentru a ajuta la autentificarea lanțului de încredere, astfel încât un părinte și o zonă copil să poată comunica cu un grad suplimentar de confort.
Înregistrările NSEC, sau următoarele sigure, intră în esență la următoarea intrare valabilă dintr-o listă de intrări DNS. Este o metodă care poate fi utilizată pentru a returna o intrare DNS inexistentă. Acest lucru este important, astfel încât numai intrările DNS configurate sunt de încredere ca fiind autentice.
NSEC3, un mecanism de securitate îmbunătățit pentru a ajuta la atenuarea atacurilor în dicționar, a fost ratificat în martie 2008 în RFC 5155.
Recepție DNSSEC
Deși mulți susținători au investit în implementarea DNSSEC, nu este lipsit de critici. În ciuda capacității sale de a ajuta la evitarea atacurilor, cum ar fi atacurile omului în mijloc, unde interogările pot fi deturnate și alimentate incorect, vor dori în mod involuntar celor care generează interogări DNS, există presupuse probleme de compatibilitate cu anumite părți ale infrastructurii Internet existente. Problema principală este că DNS folosește de obicei Protocolul de datagramă de utilizator (UDP) cu mai puțin lățime de bandă, în timp ce DNSSEC folosește protocolul de control al transmisiei (TCP) mai greu pentru a-și transmite datele înainte și înapoi pentru o mai mare fiabilitate și responsabilitate. Este posibil ca părți mari din vechea infrastructură DNS, care se bucură de milioane de cereri DNS 24 de ore pe zi, șapte zile pe săptămână, să nu poată crește traficul. Chiar și așa, mulți cred că DNSSEC este un pas major spre securizarea infrastructurii de Internet.
În timp ce nimic în viață nu este garantat, în timp, pentru a lua în considerare propriile riscuri, puteți preveni multe dureri de cap costisitoare în viitor. De exemplu, prin implementarea DNSSEC, puteți crește încrederea dvs. în anumite părți ale infrastructurii dvs. cheie DNS.
