Kazalo:
Aprila je bil aretiran nizozemski heker zaradi tako imenovanega največjega napada za zavrnitev storitve, ki ga je kdajkoli videl. Napad je bil storjen na Spamhaus, organizacijo za preprečevanje neželene pošte, in po podatkih ENISA, agencije za varnost Evropske unije, je obremenitev Spamhausove infrastrukture dosegla 300 gigabitov na sekundo, kar je trikrat več kot prejšnji rekord. Prav tako je povzročil velike zastoje v internetu in zastoj internetne infrastrukture po vsem svetu.
Seveda so napadi DNS komajda redki. Medtem ko je heker v primeru Spamhaus želel le poškodovati svojo tarčo, so večje posledice napada pokazale tudi na tisto, kar mnogi kličejo hudo napako v internetni infrastrukturi: sistem domenskih imen. Kot rezultat tega so nedavni napadi na osnovno infrastrukturo DNS tehnikom in podjetnikom prikradli za rešitve. Kaj je s tabo? Pomembno je vedeti, katere možnosti imate za izboljšanje DNS infrastrukture lastnega podjetja, pa tudi, kako delujejo korenski strežniki DNS. Oglejmo si torej nekaj težav in kaj lahko podjetja naredijo, da se zaščitijo. (Preberite več o DNS v DNS: En protokol za njihovo pravilo.)
Obstoječa infrastruktura
Sistem domenskih imen (DNS) je takrat, ko je Internet pozabil. Vendar to ne pomeni starih novic. DNS se je z nenehno spreminjajočo se grožnjo kibernetskih napadov z leti zelo pod nadzorom. DNS v povojih ni ponudil nobenih oblik preverjanja pristnosti za preverjanje identitete pošiljatelja ali prejemnika poizvedb DNS.
Pravzaprav so bila dolga leta zelo jedrni strežniki imen ali korenski strežniki podvrženi obsežnim in raznolikim napadom. Te dni so geografsko raznolike in jih upravljajo različne vrste institucij, vključno z vladnimi organi, komercialnimi subjekti in univerzami, da ohranijo svojo celovitost.
Alarmantno je bilo, da so bili nekateri napadi v preteklosti nekoliko uspešni. Leta 2002 je na primer prišlo do oklepnega napada na infrastrukturo korenskega strežnika (poročilo o tem preberite tukaj). Čeprav ni ustvaril opaznega vpliva na večino uporabnikov interneta, je pritegnil pozornost FBI-ja in ameriškega ministrstva za domovinsko varnost, saj je bil zelo profesionalen in visoko usmerjen, saj je prizadel devet od 13 delujočih korenskih strežnikov. Če bi vztrajalo več kot eno uro, pravijo strokovnjaki, bi bili rezultati lahko katastrofalni, zaradi česar bi bili elementi internetne DNS infrastrukture skoraj neuporabni.
Če bi premagali tako sestavni del internetne infrastrukture, bi uspešnemu napadalcu dajali veliko moči. Posledično je bilo za varstvo infrastrukture korenskega strežnika od takrat porabljenih veliko časa in naložb. (Tu lahko pogledate zemljevid, na katerem so prikazani korenski strežniki in njihove storitve.)
Zaščita DNS
Poleg osnovne infrastrukture je prav tako pomembno razmisliti, kako močna je DNS infrastruktura vašega podjetja v nasprotju z napadi in neuspehom. Pogosto je na primer (in navedeno v nekaterih RFC-jih), da bi strežniki imen morali biti v popolnoma različnih podomrežjih ali omrežjih. Z drugimi besedami, če ima ponudnik ISP A popoln izklop in vaš primarni strežnik imen ostane brez povezave, bo ISP B še vedno posredoval ključne podatke DNS vsem, ki jih zahtevajo.
Razširitve varnosti sistema domenskih imen (DNSSEC) so eden izmed najbolj priljubljenih načinov, kako lahko podjetja zaščitijo svojo lastno infrastrukturo strežnika imen. To je dodatek, ki zagotavlja, da je naprava, ki se povezuje na vaše strežnike imen, takšna, kot pravi. DNSSEC omogoča tudi preverjanje pristnosti za identifikacijo, od kod prihajajo zahteve, kot tudi preverjanje, ali sami podatki niso bili spremenjeni na poti. Vendar pa zaradi javne narave sistema domenskih imen uporabljena kriptografija ne zagotavlja zaupnosti podatkov, prav tako pa tudi nima nobene zasnove o njeni razpoložljivosti, če bi nekateri deli infrastrukture trpeli kakšen opis.
Za zagotovitev teh mehanizmov se uporabljajo številni konfiguracijski zapisi, vključno z vrstami zapisov RRSIG, DNSKEY, DS in NSEC. (Za več informacij si oglejte 12 pojasnjenih zapisov DNS.)
RRISG se uporablja vedno, kadar je DNSSEC na voljo tako napravi, ki pošlje poizvedbo, kot tistemu, ki jo pošlje. Ta zapis se pošlje skupaj z zahtevano vrsto zapisa.
DNSKEY, ki vsebuje podpisane podatke, bi lahko izgledal tako:
ripe.net ima zapis DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Zapis DS ali pooblaščeni podpisnik se uporablja za preverjanje pristnosti verige zaupanja, tako da lahko starš in otroška cona komunicirata z dodatno mero udobja.
NSEC ali naslednji varni vnosi v bistvu preidejo na naslednji veljavni vnos na seznamu vnosov DNS. To je metoda, ki jo je mogoče uporabiti za vrnitev neobstoječega vnosa DNS. To je pomembno tako, da so samo pristno konfigurirani vpisi DNS zaupanja vredni kot pristni.
NSEC3, izboljšan varnostni mehanizem za ublažitev napadov v slovarju, je bil ratificiran marca 2008 v RFC 5155.
DNSSEC sprejem
Čeprav je veliko predlagateljev vložilo v uvedbo DNSSEC, ni kritično. Kljub zmožnosti, da pomaga izogniti se napadom, kot so napadi človek-v sredini, kjer se poizvedbe lahko ugrabijo in napačno napajajo po lastni volji tistim, ki ustvarjajo poizvedbe DNS, obstajajo domnevne težave z združljivostjo nekaterih delov obstoječe internetne infrastrukture. Glavna težava je, da DNS običajno uporablja protokol uporabniškega podatkovnega programa (UDP), ki ni manjši pasovne širine, medtem ko DNSSEC uporablja težji protokol za nadzor prenosa (TCP) za prenos svojih podatkov naprej in nazaj za večjo zanesljivost in odgovornost. Velik del stare infrastrukture DNS, ki je zasut z milijoni zahtevkov DNS 24 ur na dan, sedem dni na teden, morda ne bo mogel povečati prometa. Kljub temu mnogi verjamejo, da je DNSSEC pomemben korak k zagotavljanju internetne infrastrukture.
Čeprav v življenju ni zagotovljeno nič, lahko nekaj časa, da razmislite o lastnih tveganjih, v prihodnosti prepreči številne drage glavobole. Na primer, z uvedbo DNSSEC lahko povečate svoje zaupanje v dele ključne ključne DNS infrastrukture.