Tartalomjegyzék:
Áprilisban letartóztattak egy holland hackert azért, amit a legnagyobb elosztott szolgáltatásmegtagadási támadásnak hívnak. A támadást a spamhaus-ellenes spam elleni szervezet ellen hajtották végre, és az ENISA, az Európai Unió informatikai biztonsági ügynöksége szerint a Spamhaus infrastruktúrájának terhelése másodpercenként 300 gigabitest tett ki, ez háromszorosa az előző rekordnak. Ugyanakkor jelentős internetes torlódást okozott, és az internetes infrastruktúrát elakadt világszerte.
A DNS-támadások természetesen ritkán fordulnak elő. De míg a Spamhaus ügyében a hackerek csak a célpont megsértésére irányultak, a támadás nagyobb következményei rávilágítottak arra is, hogy sokan az internetes infrastruktúra egyik legnagyobb hibáját hívják fel: a domain név rendszert. Ennek eredményeként a legfontosabb DNS-infrastruktúra elleni közelmúltbeli támadások a technikusokat és az üzletembereket egyaránt hagyták a megoldások felkutatására. Mi van veled? Fontos tudni, hogy milyen lehetőségek vannak a vállalkozás DNS-infrastruktúrájának támogatására, valamint hogy hogyan működnek a DNS-gyökérkiszolgálók. Vessen egy pillantást néhány problémára, és arra, hogy mit tehetnek a vállalkozások maguk védelme érdekében. (Tudjon meg többet a DNS-ből a DNS-ben: Egy protokoll, amely mindet szabályozza.)
Meglévő infrastruktúra
A domain névrendszer (DNS) egy olyan időponttól kezdve, amikor az Internet elfelejtette. De ez nem teszi régi hírré. A kibertámadások folyamatosan változó fenyegetéseivel a DNS az évek során nagy ellenőrzés alá került. A csecsemőkorban a DNS nem kínálott hitelesítési formákat a DNS-lekérdezések feladójának vagy fogadójának személyazonosságának ellenőrzésére.
Valójában évek óta a legmagasabb névszerverekre vagy a gyökérkiszolgálókra kiterjedt és változatos támadások esnek. Manapság földrajzilag sokféleségűek, és különféle intézmények működnek, köztük kormányzati szervek, kereskedelmi szervezetek és egyetemek integritásának megőrzése érdekében.
Riasztóan néhány támadás a múltban kissé sikeres volt. Például egy gyökérkiszolgáló-infrastruktúra elleni támadó támadás történt 2002-ben (erről itt olvashat bejelentést). Annak ellenére, hogy a legtöbb internetes felhasználó számára nem gyakorolt észrevehető hatást, felhívta az FBI és az Egyesült Államok Belbiztonsági Minisztériumának figyelmét, mert nagyon profi és célzott, és a 13 operációs rendszerből kilencre hatott. A szakértők szerint az egy óránál hosszabb ideig tartó eredmények katasztrofálisak lennének, és az internet DNS-infrastruktúrájának elemeit csak használhatatlanná tehetnék.
Az internet infrastruktúrájának ilyen szerves részének legyőzése egy hatalmas hatalmat adna a sikeres támadónak. Ennek eredményeként jelentős időt és beruházást hajtottak végre a gyökérkiszolgáló infrastruktúra biztosításának kérdésére. (Itt megtekintheti a gyökérkiszolgálókat és azok szolgáltatásait mutató térképet.)
DNS biztosítása
Az alapinfrastruktúrán kívül ugyanolyan fontos mérlegelni, hogy a vállalkozása DNS-infrastruktúrája mennyire robusztus lehet mind a támadás, mind a kudarc ellen. Gyakori például (és egyes RFC-kben megállapítják), hogy a névkiszolgálóknak teljesen más alhálózatokon vagy hálózatokon kell tartózkodniuk. Más szavakkal: ha az ISP A teljes leállása esetén az elsődleges névszerver offline állapotba kerül, akkor az ISP B továbbra is kiszolgálja a kulcsfontosságú DNS-adatait mindenkinek, aki azt kéri.
A domain névrendszer biztonsági kiterjesztései (DNSSEC) az egyik legnépszerűbb módszer a vállalkozások számára a saját névkiszolgálói infrastruktúra biztonságos védelmére. Ezek egy kiegészítő, amely biztosítja, hogy a névkiszolgálókhoz csatlakozó gép az, amit mond. A DNSSEC emellett lehetővé teszi a hitelesítést a kérelmek érkezési helyének azonosításához, valamint annak ellenőrzését, hogy maga az adat nem volt-e megváltoztatva útközben. A domain névrendszer nyilvános jellege miatt azonban az alkalmazott kriptográfia nem biztosítja az adatok bizalmas jellegét, és fogalma sem áll rendelkezésre annak elérhetőségéről, ha az infrastruktúra egyes részei valamilyen leírás hibájává válnak.
Számos konfigurációs rekordot használnak ezeknek a mechanizmusoknak a biztosítására, beleértve az RRSIG, DNSKEY, DS és NSEC rekordtípusokat. (További információkért lásd a 12 magyarázott DNS-rekordot.)
Az RRISG akkor használatos, amikor a DNSSEC elérhető mind a lekérdezést benyújtó, mind azt elküldő gép számára. Ezt a rekordot a kért rekordtípussal együtt küldjük el.
Az aláírt információkat tartalmazó DNSKEY így néz ki:
ripe.net egy DNSKEY rekord 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
A DS vagy a delegált aláíró rekordja segíti a bizalomlánc hitelesítését, hogy a szülõk és a gyermekek övezete további kényelmet élvezhessen.
Az NSEC, vagy a következő biztonságos bejegyzések lényegében a DNS-bejegyzések listájának következő érvényes bejegyzésére ugornak. Ez egy módszer, amely egy nem létező DNS bejegyzés visszaadására használható. Ez azért fontos, hogy csak a konfigurált DNS-bejegyzések hitelesek legyenek.
A szótár stílusú támadások enyhítésére szolgáló, javított biztonsági mechanizmust, az NSEC3-ot 2008. márciusában ratifikálták az RFC 5155-ben.
DNSSEC vétel
Noha sok támogató befektetett a DNSSEC telepítésébe, a kritikusok nélkül sem. Annak ellenére, hogy képes elkerülni a támadásokat, például a középtávú támadásokat, ahol a lekérdezések eltéríthetők és tévesen szándékosan adhatók be a DNS-lekérdezéseket generálóknak, állítólagos kompatibilitási problémák merülnek fel a meglévő internetes infrastruktúra egyes részeivel. A fő probléma az, hogy a DNS általában a kevésbé sávszélességet igénylő felhasználói adatgram-protokollt (UDP) használja, míg a DNSSEC a nehezebb átviteli vezérlő protokollt (TCP) használja az adatok továbbadására és továbbadására a nagyobb megbízhatóság és elszámoltathatóság érdekében. A régi DNS-infrastruktúra nagy részei, amelyek napi 24 órában, a hét hét napján több millió DNS-igénylés megkísérlik, valószínűleg nem képesek a forgalom növekedésére. Ennek ellenére sokan úgy vélik, hogy a DNSSEC jelentős lépés az internetes infrastruktúra biztosítása felé.
Noha az életben semmi sem garantált, a saját kockázatainak átgondolása elháríthatja a jövőben sok költséges fejfájást. Például a DNSSEC telepítésével növelheti a bizalmat a kulcsfontosságú DNS-infrastruktúra egyes részeiben.