Sadržaj:
U travnju je uhićen nizozemski haker zbog, kako se naziva, najvećeg distribuiranog napada uskraćivanja usluge ikada viđenog. Napad je počinjen na Spamhaus, anti-spam organizaciji, a prema ENISA, agenciji za sigurnost IT-a Europske unije, opterećenje Spamhausove infrastrukture doseglo je 300 gigabita u sekundi, što je tri puta više od prethodnog rekorda. Također je uzrokovao velike zagušenja interneta i zaglavio internetsku infrastrukturu u cijelom svijetu.
Naravno, napadi DNS-a rijetko su rijetki. No, iako je haker u slučaju Spamhaus samo želio naštetiti svojoj meta, veće posljedice napada također su ukazale na ono što mnogi nazivaju velikim nedostatkom internetske infrastrukture: sustavom naziva domena. Kao rezultat toga, nedavni napadi na temeljnu DNS infrastrukturu ostavili su tehničare i privrednike da se bave traženjem rješenja. A što je s tobom? Važno je znati koje su vam opcije za jačanje DNS infrastrukture vašeg poduzeća kao i način rada DNS korijenskih poslužitelja. Pogledajmo neke od problema i što tvrtke mogu učiniti da se zaštite. (Saznajte više o DNS-u u DNS-u: jedan protokol za pravilo svih.)
Postojeća infrastruktura
Sustav naziva domena (DNS) nastao je iz vremena kad je Internet zaboravio. Ali to ne čini stare vijesti. Uz stalno promjenjivu prijetnju cybernapada, DNS je tijekom godina bio pod velikim nadzorom. U početnoj fazi DNS nije ponudio nikakve oblike autentifikacije za provjeru identiteta pošiljatelja ili primatelja DNS upita.
U stvari već dugi niz godina sami jezgrani poslužitelji imena ili korijenski poslužitelji bili su izloženi opsežnim i raznolikim napadima. Ovih su dana geografski raznolike i njima upravljaju različite vrste institucija, uključujući vladina tijela, trgovačka tijela i sveučilišta kako bi održale svoj integritet.
Alarmantno, neki napadi su u prošlosti bili pomalo uspješni. Napad napada na infrastrukturu korijenskog poslužitelja, na primjer, dogodio se 2002. (izvješće o tome pročitajte ovdje). Iako nije stvorio vidljiv utjecaj na većinu korisnika interneta, privukao je pažnju FBI-a i Ministarstva za unutarnju sigurnost SAD-a, jer je bio vrlo profesionalan i visoko ciljan, a utjecao je na devet od 13 operativnih korijenskih poslužitelja. Da je postojalo više od jednog sata, kažu stručnjaci, rezultati bi mogli biti katastrofalni, a elementi internet DNS infrastrukture činili bi se beskorisnim.
Pobijanje takvog sastavnog dijela internetske infrastrukture omogućilo bi uspješnom napadaču veliku snagu. Kao rezultat toga, od tada je primijenjeno značajno vrijeme i ulaganja u pitanje osiguranja korijenske infrastrukture poslužitelja. (Ovdje možete pogledati kartu koja prikazuje korijenske poslužitelje i njihove usluge.)
Osiguravanje DNS-a
Uz osnovnu infrastrukturu, jednako je važno razmotriti koliko čvrst DNS infrastruktura vašeg poduzeća može biti protiv napada i neuspjeha. Na primjer, uobičajeno je (i navedeno u nekim RFC-ima) da poslužitelji imena trebaju biti smješteni u potpuno različitim podmrežama ili mrežama. Drugim riječima, ako ISP A ima potpuno isključenje, a vaš primarni poslužitelj imena ostaje izvan mreže, onda će ISP B i dalje posluživati vaše ključne DNS podatke onome tko ga zatraži.
Proširenja sigurnosti domenskog imena (DNSSEC) jedan su od najpopularnijih načina na koji tvrtke mogu osigurati svoju vlastitu infrastrukturu poslužitelja imena. Ovo je dodatak koji osigurava da uređaj koji se spaja na vaše poslužitelje imena takav kakav kaže. DNSSEC omogućuje i provjeru autentičnosti za identificiranje odakle dolaze zahtjevi, kao i za provjeru da sami podaci nisu promijenjeni na putu. Međutim, zbog javne prirode sustava naziva domena, korištena kriptografija ne osigurava povjerljivost podataka, niti ima bilo kakav koncept njegove dostupnosti ako dijelovi infrastrukture trpe neuspjeh u nekom opisu.
Za pružanje ovih mehanizama koriste se brojni konfiguracijski zapisi, uključujući vrste zapisa RRSIG, DNSKEY, DS i NSEC. (Za više informacija pogledajte 12 objašnjenih DNS zapisa.)
RRISG se koristi kad god je DNSSEC dostupan i stroju koji šalje upit i onome koji ga šalje. Ovaj se zapis šalje zajedno s traženom vrstom zapisa.
DNSKEY koji sadrži potpisane podatke može izgledati ovako:
ripe.net ima zapis DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Zapis pomoću DS-a ili delegiranog potpisnika koristi se kao potvrda lanca povjerenja tako da roditelj i dječja zona mogu komunicirati s dodatnim stupnjem udobnosti.
NSEC ili sljedeći sigurni unosi u osnovi prelaze na sljedeći valjani unos na popisu DNS unosa. To je metoda koja se može koristiti za povratak nepostojećeg unosa DNS-a. To je važno tako da se vjerodostojno smatraju samo konfigurirani DNS unosi.
NSEC3, poboljšani sigurnosni mehanizam za ublažavanje napada u rječniku, ratificiran je u ožujku 2008. u RFC 5155.
DNSSEC prijam
Iako su mnogi zagovornici uložili u uvođenje DNSSEC-a, nije bez kritičara. Iako je u mogućnosti da izbjegne napade kao što su napadi "čovjek-u-sredini", gdje se upiti mogu neovlašteno oteti i pogrešno hraniti onima koji generiraju DNS upite, postoje navodni problemi s kompatibilnošću s određenim dijelovima postojeće internetske infrastrukture. Glavni problem je u tome što DNS obično koristi protokol korisničkog datagrama protokola osiromašen širinom širine propusnosti, dok DNSSEC koristi teži protokol kontrole prijenosa (TCP) da bi proslijedio svoje podatke naprijed i nazad radi veće pouzdanosti i odgovornosti. Veliki dijelovi stare DNS infrastrukture, koji su prekriveni milijunima DNS zahtjeva 24 sata dnevno, sedam dana u tjednu, možda neće biti u mogućnosti povećati promet. Unatoč tome, mnogi smatraju da je DNSSEC važan korak ka osiguranju internetske infrastrukture.
Iako ništa u životu nije zagarantovano, uzimanje vremena za razmatranje vlastitih rizika može spriječiti mnoge skupe glavobolje u budućnosti. Primjerice, primjenom DNSSEC-a možete povećati povjerenje u dijelove ključne DNS infrastrukture.
