Съдържание:
През април холандски хакер беше арестуван за това, което се нарича най-разпространената атака за отказ на услуга, виждана някога. Атаката е извършена срещу Spamhaus, антиспам организация и според ENISA, агенцията за сигурност на информационните технологии на Европейския съюз, натоварването на инфраструктурата на Spamhaus достига 300 гигабита в секунда, три пъти повече от предишния рекорд. Това също предизвика големи задръствания в Интернет и задръства интернет инфраструктурата в световен мащаб.
Разбира се, DNS атаките едва ли са рядкост. Но макар хакерът в случая Spamhaus да е искал само да навреди на целта си, по-големите последствия от атаката също сочат към това, което мнозина наричат голям недостатък в интернет инфраструктурата: Системата за имена на домейни. В резултат на това неотдавнашните атаки срещу основната инфраструктура на DNS оставиха техници и бизнесмени да търсят решения. И какво ще кажеш за теб? Важно е да знаете какви опции имате за укрепване на DNS инфраструктурата на вашия бизнес, както и как работят коренните сървъри на DNS. Затова нека разгледаме някои от проблемите и какво могат да направят предприятията, за да се защитят. (Научете повече за DNS в DNS: Един протокол за правило за всички тях.)
Съществуваща инфраструктура
Системата за имена на домейни (DNS) е от времето, в което Интернет е забравил. Но това не го прави стари новини. С непрекъснато променящата се заплаха от кибератаки, DNS е подложен на голям контрол през годините. В своята детска възраст DNS не предлага форми за удостоверяване, за да провери самоличността на подател или получател на DNS заявки.
Всъщност от много години самите сървъри на имена или root сървъри са били обект на обширни и разнообразни атаки. В наши дни те са географски разнообразни и се експлоатират от различни видове институции, включително държавни органи, търговски организации и университети, за да поддържат своята цялост.
Тревожно е, че някои атаки са били донякъде успешни в миналото. Осакатяваща атака например върху инфраструктурата на коренния сървър се случи например през 2002 г. (прочетете доклад за това тук). Въпреки че не създаде забележимо въздействие за повечето потребители на Интернет, той привлече вниманието на ФБР и Министерството на вътрешната сигурност на САЩ, тъй като беше високо професионален и силно насочен, като засегна девет от 13-те работещи root сървъра. Ако продължиха повече от един час, казват експертите, резултатите биха могли да бъдат катастрофални, което би направило елементите на DNS инфраструктурата на Интернет почти безполезни.
Да се победи такава неразделна част от инфраструктурата на Интернет би дало на един успешен нападател голяма сила. В резултат на това значително време и инвестиции бяха приложени към въпроса за осигуряване на инфраструктурата на кореновия сървър. (Можете да разгледате карта, показваща root сървъри и техните услуги тук.)
Осигуряване на DNS
Освен основната инфраструктура, също толкова важно е да се помисли колко здрава DNS инфраструктурата на вашия бизнес може да бъде както срещу атака, така и от неуспех. Обичайно е например (и е посочено в някои RFC), че сървърите за имена трябва да пребивават в напълно различни подмрежи или мрежи. С други думи, ако ISP A има пълен прекъсване и вашият основен сървър на имена не работи офлайн, ISP B все още ще предоставя вашите ключови DNS данни на всеки, който го поиска.
Разширенията за сигурност на домейновите имена (DNSSEC) са един от най-популярните начини, по които предприятията могат да осигурят собствена инфраструктура на сървъра за имена. Това са добавка, за да се гарантира, че машината, която се свързва към сървърите ви за имена, е това, което пише, че е. DNSSEC също позволява удостоверяване за идентифициране откъде идват заявките, както и за проверка дали самите данни не са променени по маршрута. Въпреки това, поради публичния характер на системата за имена на домейни, използваната криптовалута не гарантира поверителност на данните, нито има някаква концепция за нейната наличност, ако части от инфраструктурата търпят повреда в някакво описание.
За осигуряване на тези механизми се използват редица конфигурационни записи, включително типове записи RRSIG, DNSKEY, DS и NSEC. (За повече информация, вижте 12 обяснени DNS записи.)
RRISG се използва винаги, когато DNSSEC е достъпен както за машината, изпращаща заявката, така и тази, която я изпраща. Този запис се изпраща заедно с искания тип запис.
DNSKEY, съдържащ подписана информация, може да изглежда така:
ripe.net има запис DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS или делегиран подписващ запис се използва, за да помогне за удостоверяване на веригата на доверие, така че родител и детска зона да могат да комуникират с допълнителна степен на комфорт.
NSEC или следващите сигурни записи по същество преминават към следващия валиден запис в списък с DNS записи. Това е метод, който може да се използва за връщане на несъществуващ DNS запис. Това е важно, за да се вярва само на конфигурирани DNS записи като истински.
NSEC3, подобрен механизъм за защита за подпомагане на смекчаването на атаките в стил речник, бе ратифициран през март 2008 г. в RFC 5155.
DNSSEC Прием
Въпреки че много привърженици са инвестирали в разгръщане на DNSSEC, това не е без критиците му. Въпреки способността му да помага да се избегнат атаки, като например атаки от човек в средата, при които заявките могат да бъдат отвлечени и неправилно подадени по желание на тези, генериращи DNS заявки, има предполагаеми проблеми със съвместимостта с определени части от съществуващата интернет инфраструктура. Основният проблем е, че DNS обикновено използва протокола на User Datagram (UDP) с глад за широчина на лентата, докато DNSSEC използва по-тежкия протокол за контрол на предаването (TCP), за да предаде своите данни напред и назад за по-голяма надеждност и отчетност. Големи части от старата инфраструктура на DNS, които са залети с милиони заявки за DNS 24 часа в денонощието, седем дни в седмицата, може да не са в състояние да увеличат трафика. Въпреки това мнозина смятат, че DNSSEC е важна стъпка към осигуряване на интернет инфраструктура.
Въпреки че нищо в живота не е гарантирано, отделянето на известно време, за да обмислите собствените си рискове, може да предотврати много скъпи главоболия в бъдеще. Например, като разгърнете DNSSEC, можете да увеличите доверието си в части от вашата ключова DNS инфраструктура.
