Будинки Безпека Чи можна вважати dns безпечним?

Чи можна вважати dns безпечним?

Зміст:

Anonim

У квітні голландського хакера було заарештовано за те, що називають найбільшою поширеною атакою відмови у службі, яку коли-небудь бачили. Атака була здійснена проти Spamhaus, організації проти спаму, і за даними ENISA, агентства з безпеки ІТ Європейського Союзу, навантаження на інфраструктуру Spamhaus сягало 300 гігабіт в секунду, що втричі перевищує попередній рекорд. Це також спричинило великі затори в Інтернеті та заважало інтернет-інфраструктурі по всьому світу.


Звичайно, напади DNS навряд чи рідкісні. Але хоча хакер у справі "Спамхаус" мав на меті завдати шкоди лише своїй цілі, більші наслідки нападу також вказували на те, що багато хто називає головний недолік в Інтернет-інфраструктурі: система доменних імен. Як результат, нещодавні атаки на основну інфраструктуру DNS призвели до того, що технічні працівники та бізнесмени схожі шукають рішення. То що з тобою? Важливо знати, які варіанти для покращення інфраструктури DNS вашого власного бізнесу, а також як кореневі сервери DNS працюють. Тож давайте розглянемо деякі проблеми та те, що бізнес може зробити, щоб захистити себе. (Дізнайтеся більше про DNS у DNS: Один протокол до правила всіх.)

Існуюча інфраструктура

Система доменних імен (DNS) - це час, коли Інтернет забув. Але це не робить його старими новинами. Завдяки постійно мінливій загрозі кібератак, DNS протягом багатьох років піддався значній увазі. У дитинстві DNS не пропонував форм аутентифікації для підтвердження особи відправника або одержувача запитів DNS.


Насправді протягом багатьох років самі основні сервери імен або кореневі сервери піддавалися великим і різноманітним атакам. У наші дні вони географічно різноманітні та функціонують різними типами установ, включаючи урядові органи, комерційні установи та університети, щоб підтримувати свою цілісність.


Тривожно, деякі атаки в минулому були дещо успішними. Наприклад, калікова атака на інфраструктуру кореневого сервера сталася в 2002 році (звіт про це читайте тут). Незважаючи на те, що це не спричинило помітного впливу для більшості користувачів Інтернету, воно привернуло увагу ФБР та Міністерства внутрішньої безпеки США, оскільки воно було високопрофесійним та високо націленим, впливаючи на дев'ять із 13 працюючих кореневих серверів. Якби воно зберігалося більше однієї години, кажуть експерти, результати могли б бути катастрофічними, тому що елементи DNS-інфраструктури Інтернету стали абсолютно марними.


Поразка такої невід'ємної частини інфраструктури Інтернету дала б успішному зловмиснику велику силу. Як результат, з тих пір було застосовано значні витрати часу та інвестицій на питання забезпечення інфраструктури кореневого сервера. (Тут ви можете переглянути карту, на якій показані кореневі сервери та їх служби.)

Забезпечення DNS

Крім основної інфраструктури, не менш важливо враховувати, наскільки надійною може бути DNS-інфраструктура вашого власного бізнесу як проти атаки, так і відмови. Наприклад, звичайно (і зазначено в деяких RFC), що сервери імен повинні розміщуватися в абсолютно інших підмережах або мережах. Іншими словами, якщо ISP A має повний відключення, а ваш основний сервер імен перебуває в режимі офлайн, то ISP B все одно подаватиме ваші ключові дані DNS будь-кому, хто цього запитує.


Розширення системи захисту доменних імен (DNSSEC) - це один із найпопулярніших способів, завдяки яким підприємства можуть захистити власну інфраструктуру сервера імен. Це доповнення для того, щоб машина, що підключається до ваших серверів імен, була такою, якою вона є. DNSSEC також дозволяє аутентифікувати для визначення того, звідки надходять запити, а також перевірити, чи самі дані не були змінені за маршрутом. Однак, через публічний характер системи доменних імен, використовувана криптовалюта не забезпечує конфіденційність даних, а також не має поняття її доступності, якщо частини інфраструктури зазнають невдалого опису.


Для забезпечення цих механізмів використовується ряд записів конфігурації, включаючи типи записів RRSIG, DNSKEY, DS та NSEC. (Для отримання додаткової інформації ознайомтеся з 12 пояснень DNS-записів.)


RRISG використовується, коли DNSSEC доступний як для машини, що надсилає запит, так і тієї, що надсилає його. Цей запис надсилається разом із запитаним типом запису.


DNSKEY, що містить підписану інформацію, може виглядати приблизно так:


ripe.net має DNSKEY запис 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =


Запис DS або делегований підписант використовується для підтвердження автентичності ланцюга довіри, щоб батьки та дочірня зона могли спілкуватися з додатковим ступенем комфорту.


NSEC або наступні захищені записи, по суті, переходять до наступної дійсної записи у списку записів DNS. Це метод, який може бути використаний для повернення неіснуючої записи DNS. Це важливо, щоб лише налаштовані записи DNS вважалися справжніми.


NSEC3, удосконалений механізм захисту для зменшення атак у словниковому стилі, був ратифікований у березні 2008 року в RFC 5155.

Прийом DNSSEC

Хоча багато прихильників інвестували в розгортання DNSSEC, це не без критики. Незважаючи на його здатність допомагати уникати атак, таких як напади "посередника", де запити можуть бути викрадені та неправильно подані за бажанням тим, хто генерує запити DNS, є ймовірні проблеми сумісності з певними частинами існуючої інфраструктури Інтернету. Основна проблема полягає в тому, що DNS, як правило, використовує протокол дейтаграм користувача з обмеженою пропускною здатністю (UDP), тоді як DNSSEC використовує більш важкий протокол управління передачею (TCP) для передачі своїх даних вперед і назад для більшої надійності та підзвітності. Велика частина старої інфраструктури DNS, яка охоплюється мільйонами запитів DNS 24 години на добу, сім днів на тиждень, може не мати можливості збільшувати трафік. Незважаючи на це, багато хто вважає, що DNSSEC є головним кроком до забезпечення інфраструктури Інтернету.


Хоча нічого в житті не гарантується, певний час, щоб розглянути власні ризики, може запобігти багато дорогих головних болів у майбутньому. Наприклад, розгорнувши DNSSEC, ви можете підвищити довіру до частин вашої ключової інфраструктури DNS.

Чи можна вважати dns безпечним?