Πίνακας περιεχομένων:
Τον Απρίλιο συνελήφθη ένας ολλανδικός χάκερ για το τι καλείται η μεγαλύτερη κατανεμημένη επίθεση άρνησης εξυπηρέτησης που παρατηρήθηκε ποτέ. Η επίθεση διαπράχθηκε στο Spamhaus, ένας οργανισμός κατά του spam και σύμφωνα με τον Οργανισμό Ασφάλειας Πληροφοριών της Ευρωπαϊκής Ένωσης (ENISA), το φορτίο της υποδομής του Spamhaus ανήλθε σε 300 gigabits ανά δευτερόλεπτο, τρεις φορές το προηγούμενο ρεκόρ. Προκάλεσε επίσης σημαντική συμφόρηση στο Διαδίκτυο και μπλοκάρει την υποδομή του Διαδικτύου παγκοσμίως.
Φυσικά, οι επιθέσεις DNS είναι σχεδόν σπάνιες. Αλλά ενώ ο χάκερ στην υπόθεση Spamhaus είχε μόνο σκοπό να βλάψει τον στόχο του, οι μεγαλύτερες επιπτώσεις της επίθεσης έδειξαν επίσης ότι πολλοί καλούν ένα σημαντικό μειονέκτημα στην υποδομή του Διαδικτύου: το σύστημα ονομάτων τομέα. Ως αποτέλεσμα, οι πρόσφατες επιθέσεις στην βασική υποδομή DNS έχουν αφήσει τους τεχνικούς και τους επιχειρηματίες να προσπαθούν να βρουν λύσεις. Λοιπόν, τι γινεται με 'σένα? Είναι σημαντικό να γνωρίζετε ποιες επιλογές έχετε για την ενίσχυση της υποδομής DNS της δικής σας επιχείρησης καθώς και του τρόπου λειτουργίας των ριζικών διακομιστών DNS. Ας ρίξουμε μια ματιά σε μερικά από τα προβλήματα, και τι μπορούν να κάνουν οι επιχειρήσεις για να προστατεύσουν τον εαυτό τους. (Μάθετε περισσότερα σχετικά με το DNS στο DNS: Ένα πρωτόκολλο για όλους τους κανόνες.)
Υπάρχουσα υποδομή
Το σύστημα ονομάτων τομέα (DNS) είναι από τη στιγμή που το Διαδίκτυο έχει ξεχάσει. Αλλά αυτό δεν κάνει παλιά νέα. Με την συνεχώς μεταβαλλόμενη απειλή κυβερνοπαράθεσης, το DNS έχει εξεταστεί με μεγάλη προσοχή τα τελευταία χρόνια. Από τη νηπιακή ηλικία, το DNS δεν πρόσφερε μορφές επαλήθευσης ταυτότητας για να επαληθεύσει την ταυτότητα ενός αποστολέα ή ενός παραλήπτη ερωτημάτων DNS.
Στην πραγματικότητα για πολλά χρόνια, οι ίδιοι οι κεντρικοί διακομιστές ονομάτων, ή οι ριζικοί διακομιστές, έχουν υποστεί εκτεταμένες και ποικίλες επιθέσεις. Αυτές τις μέρες είναι γεωγραφικά ποικίλες και λειτουργούν από διάφορους τύπους ιδρυμάτων, συμπεριλαμβανομένων κυβερνητικών φορέων, εμπορικών οντοτήτων και πανεπιστημίων, για να διατηρήσουν την ακεραιότητά τους.
Είναι ανησυχητικό ότι κάποιες επιθέσεις ήταν κάπως επιτυχείς στο παρελθόν. Μια επιθετική επίθεση στην υποδομή διακομιστή ρίζας, για παράδειγμα, συνέβη το 2002 (διαβάστε μια αναφορά γι 'αυτό εδώ). Αν και δεν δημιούργησε αξιοσημείωτη επίδραση στους περισσότερους χρήστες του Διαδικτύου, προσελκύει την προσοχή του FBI και του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ επειδή ήταν εξαιρετικά επαγγελματικό και εξαιρετικά στοχοθετημένο, επηρεάζοντας εννέα από τους 13 λειτουργικούς εξυπηρετητές root. Αν είχαν παραμείνει για περισσότερο από μία ώρα, λένε οι ειδικοί, τα αποτελέσματα θα μπορούσαν να ήταν καταστροφικά, κάνοντας τα στοιχεία της υποδομής DNS του Διαδικτύου όλα άχρηστα.
Για να νικήσουμε ένα τέτοιο αναπόσπαστο μέρος της υποδομής του Διαδικτύου θα έδινε σε έναν επιτυχημένο επιτιθέμενο μεγάλη δύναμη. Ως εκ τούτου, από τότε έχει εφαρμοστεί σημαντικός χρόνος και επένδυση για το ζήτημα της διασφάλισης της υποδομής του διακομιστή ρίζας. (Μπορείτε να δείτε έναν χάρτη που να δείχνει τους διακομιστές root και τις υπηρεσίες τους εδώ.)
Διασφάλιση DNS
Εκτός από την βασική υποδομή, είναι εξίσου σημαντικό να εξετάσετε πόσο ισχυρή μπορεί να είναι η υποδομή DNS της δικής σας επιχείρησης ενάντια τόσο στην επίθεση όσο και στην αποτυχία. Είναι συνηθισμένο για παράδειγμα (και αναφέρεται σε ορισμένα RFC) ότι οι διακομιστές ονομάτων θα πρέπει να βρίσκονται σε εντελώς διαφορετικά υποδίκτυα ή δίκτυα. Με άλλα λόγια, εάν ο ISP A έχει πλήρη διακοπή και ο κύριος διακομιστής ονομάτων σας είναι εκτός σύνδεσης, τότε ο ISP B θα εξακολουθεί να εξυπηρετεί τα βασικά δεδομένα DNS σε οποιονδήποτε το ζητήσει.
Οι επεκτάσεις ασφαλείας του συστήματος ονομάτων τομέα (DNSSEC) είναι ένας από τους πιο δημοφιλείς τρόπους με τους οποίους οι επιχειρήσεις μπορούν να εξασφαλίσουν την υποδομή τους για το δικό τους διακομιστή ονομάτων. Αυτά είναι ένα πρόσθετο για να βεβαιωθείτε ότι το μηχάνημα που συνδέεται με τους διακομιστές ονομάτων σας είναι αυτό που λέει ότι είναι. Το DNSSEC επιτρέπει επίσης έλεγχο ταυτότητας για τον εντοπισμό από πού προέρχονται τα αιτήματα, καθώς και την επαλήθευση ότι τα ίδια τα δεδομένα δεν έχουν αλλάξει καθ 'οδόν. Ωστόσο, λόγω της δημόσιας φύσης του συστήματος ονομάτων τομέα, η χρησιμοποιούμενη κρυπτογράφηση δεν εξασφαλίζει την εμπιστευτικότητα των δεδομένων και δεν έχει καμία έννοια της διαθεσιμότητάς της σε περίπτωση που κάποια τμήματα της υποδομής υποστούν κάποια αποτυχία.
Χρησιμοποιείται ένας αριθμός εγγραφών διαμόρφωσης για την παροχή αυτών των μηχανισμών, συμπεριλαμβανομένων των τύπων εγγραφών RRSIG, DNSKEY, DS και NSEC. (Για περισσότερες πληροφορίες, ανακαλύψτε 12 εξειδικευμένα αρχεία DNS.)
Το RRISG χρησιμοποιείται κάθε φορά που το DNSSEC είναι διαθέσιμο τόσο στο μηχάνημα που υποβάλλει το ερώτημα όσο και στο μήνυμα που το στέλνει. Αυτή η εγγραφή αποστέλλεται μαζί με τον απαιτούμενο τύπο εγγραφής.
Ένα DNSKEY που περιέχει τις υπογεγραμμένες πληροφορίες μπορεί να μοιάζει με αυτό:
ripe.net έχει ένα ρεκόρ DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Ο καταχωρητής DS ή εξουσιοδοτημένος υπογράφων χρησιμοποιείται για να βοηθήσει στην επαλήθευση της αλυσίδας εμπιστοσύνης, έτσι ώστε ένας γονέας και μια παιδική ζώνη να μπορούν να επικοινωνούν με πρόσθετο βαθμό άνεσης.
Το NSEC ή οι επόμενες ασφαλείς καταχωρήσεις ουσιαστικά μεταπηδούν στην επόμενη έγκυρη καταχώρηση σε μια λίστα καταχωρήσεων DNS. Είναι μια μέθοδος που μπορεί να χρησιμοποιηθεί για την επιστροφή μιας μη υπάρχουσας καταχώρησης DNS. Αυτό είναι σημαντικό, ώστε μόνο αξιόπιστες καταχωρήσεις DNS να είναι αξιόπιστες.
Ο NSEC3, ένας βελτιωμένος μηχανισμός ασφαλείας που βοηθά στην άμβλυνση των επιθέσεων τύπου στυλ λεξικού, επικυρώθηκε το Μάρτιο του 2008 στο RFC 5155.
DNSSEC Υποδοχή
Αν και πολλοί υποστηρικτές έχουν επενδύσει στην ανάπτυξη DNSSEC δεν είναι χωρίς τους επικριτές της. Παρά την ικανότητά του να βοηθά στην αποφυγή επιθέσεων όπως οι επιθέσεις "άνθρωπος-στο-μέσος", όπου τα ερωτήματα μπορούν να καταπατηθούν και να διοχετευθούν λανθασμένα σε ερωτήματα που δημιουργούν ερωτήματα DNS, υπάρχουν υποτιθέμενα ζητήματα συμβατότητας με ορισμένα τμήματα της υπάρχουσας υποδομής Διαδικτύου. Το βασικό ζήτημα είναι ότι το DNS συνήθως χρησιμοποιεί το πρωτόκολλο User Datagram Protocol (UDP) που έχει πεινάσει λιγότερο από το εύρος ζώνης ενώ το DNSSEC χρησιμοποιεί το βαρύτερο πρωτόκολλο ελέγχου μετάδοσης (TCP) για να μεταβιβάσει τα δεδομένα του πίσω και πίσω για μεγαλύτερη αξιοπιστία και υπευθυνότητα. Μεγάλα τμήματα της παλιάς υποδομής DNS, τα οποία είναι γεμάτα με εκατομμύρια αιτήσεις DNS 24 ώρες την ημέρα, επτά ημέρες την εβδομάδα, ενδέχεται να μην είναι σε θέση να αυξήσουν την επισκεψιμότητα. Ακόμα κι έτσι, πολλοί πιστεύουν ότι το DNSSEC αποτελεί ένα σημαντικό βήμα προς την εξασφάλιση της υποδομής του Διαδικτύου.
Ενώ δεν υπάρχει εγγύηση για τίποτα στη ζωή, ο χρόνος για να εξετάσει κανείς τους κινδύνους σας μπορεί να αποτρέψει πολλούς δαπανηρούς πονοκεφάλους στο μέλλον. Με την ανάπτυξη του DNSSEC, για παράδειγμα, μπορείτε να αυξήσετε την εμπιστοσύνη σας σε τμήματα της βασικής υποδομής DNS.
