Оглавление:
В апреле голландский хакер был арестован за то, что называют крупнейшей распределенной атакой отказа в обслуживании, когда-либо замеченной. Атака была совершена на Spamhaus, организацию по борьбе со спамом, и, по данным ENISA, агентства по безопасности информационных технологий Европейского Союза, нагрузка на инфраструктуру Spamhaus достигала 300 гигабит в секунду, что в три раза больше предыдущего показателя. Это также привело к серьезной перегрузке в Интернете и нарушению работы интернет-инфраструктуры во всем мире.
Конечно, DNS-атаки вряд ли редки. Но в то время как хакер в деле Spamhaus только хотел нанести вред своей цели, более широкие последствия атаки также указали на то, что многие называют основным недостатком инфраструктуры Интернета: система доменных имен. В результате недавние атаки на основную инфраструктуру DNS заставили техников и бизнесменов искать решения. А что насчет тебя? Важно знать, какие у вас есть возможности для поддержки DNS-инфраструктуры вашего бизнеса, а также как работают корневые серверы DNS. Итак, давайте посмотрим на некоторые из проблем, и то, что предприятия могут сделать, чтобы защитить себя. (Узнайте больше о DNS в DNS: один протокол, чтобы управлять ими всеми.)
Существующая инфраструктура
Система доменных имен (DNS) - это время, когда Интернет забыл. Но это не делает это старыми новостями. В связи с постоянно меняющейся угрозой кибератак, DNS подвергался тщательному анализу на протяжении многих лет. В зачаточном состоянии DNS не предлагал никаких форм аутентификации для проверки личности отправителя или получателя DNS-запросов.
Фактически, в течение многих лет самые основные серверы имен или корневые серверы подвергались обширным и разнообразным атакам. В наши дни они географически разнообразны и управляются различными типами учреждений, включая государственные органы, коммерческие структуры и университеты, для поддержания их целостности.
К сожалению, в прошлом некоторые атаки были несколько успешными. Например, в 2002 году произошла серьезная атака на инфраструктуру корневых серверов (см. Отчет об этом здесь). Хотя это не оказало заметного влияния на большинство пользователей Интернета, оно привлекло внимание ФБР и Министерства внутренней безопасности США, поскольку оно было очень профессиональным и целенаправленным, затрагивая девять из 13 работающих корневых серверов. Эксперты говорят, что если бы оно продолжалось более одного часа, результаты могли бы быть катастрофическими, делая элементы инфраструктуры DNS в Интернете практически бесполезными.
Победа над такой неотъемлемой частью инфраструктуры Интернета дала бы успешному злоумышленнику большую власть. В результате с тех пор было уделено значительное время и средства для защиты инфраструктуры корневых серверов. (Вы можете проверить карту, показывающую корневые серверы и их службы здесь.)
Защита DNS
Помимо базовой инфраструктуры, не менее важно учитывать, насколько надежна DNS-инфраструктура вашего бизнеса для защиты от атак и сбоев. Например, обычно (и указано в некоторых RFC) серверы имен должны находиться в совершенно разных подсетях или сетях. Другими словами, если у провайдера A полный сбой и ваш основной сервер имен отключен, то провайдер B все равно будет передавать ваши ключевые данные DNS всем, кто их запрашивает.
Расширения безопасности системы доменных имен (DNSSEC) являются одним из самых популярных способов обеспечения безопасности собственной инфраструктурой серверов имен. Это дополнение, гарантирующее, что машина, подключающаяся к вашим серверам имен, соответствует требованиям. DNSSEC также позволяет выполнять аутентификацию для определения того, откуда поступают запросы, а также для проверки того, что сами данные не были изменены в пути. Однако из-за общедоступного характера Системы доменных имен используемая криптография не обеспечивает конфиденциальность данных и не имеет никакой концепции их доступности, если части инфраструктуры испытывают сбой какого-либо описания.
Для обеспечения этих механизмов используется ряд записей конфигурации, включая типы записей RRSIG, DNSKEY, DS и NSEC. (Для получения дополнительной информации, проверьте 12 объяснений DNS записей.)
RRISG используется всякий раз, когда DNSSEC доступен как для компьютера, отправляющего запрос, так и для отправляющего его. Эта запись отправляется вместе с запрошенным типом записи.
DNSKEY, содержащий подписанную информацию, может выглядеть так:
ripe.net имеет DNSKEY запись 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Запись DS или делегированного подписывающего лица используется для проверки подлинности цепочки доверия, чтобы родительская и дочерняя зоны могли общаться с дополнительной степенью комфорта.
NSEC, или следующие безопасные записи, по существу переходят к следующей действительной записи в списке записей DNS. Это метод, который можно использовать для возврата несуществующей записи DNS. Это важно, чтобы только настроенные записи DNS считались подлинными.
NSEC3, улучшенный механизм безопасности, помогающий смягчить атаки по словарю, был ратифицирован в марте 2008 года в RFC 5155.
Прием DNSSEC
Хотя многие сторонники вложили средства в развертывание DNSSEC, это не без его критиков. Несмотря на то, что он помогает избежать атак, таких как атаки «человек посередине», когда запросы могут быть перехвачены и неправильно отправлены по желанию непреднамеренно для генерирующих DNS-запросов, существуют предполагаемые проблемы совместимости с определенными частями существующей интернет-инфраструктуры. Основная проблема заключается в том, что DNS обычно использует протокол пользовательских дейтаграмм (UDP) с меньшим потреблением полосы пропускания, тогда как DNSSEC использует более тяжелый протокол управления передачей (TCP) для передачи своих данных назад и вперед для большей надежности и подотчетности. Большие части старой DNS-инфраструктуры, которые наполняются миллионами DNS-запросов 24 часа в сутки, семь дней в неделю, могут оказаться неспособными к увеличению трафика. Несмотря на это, многие считают, что DNSSEC является важным шагом на пути к обеспечению безопасности интернет-инфраструктуры.
Хотя ничто в жизни не гарантировано, уделение некоторого времени рассмотрению ваших собственных рисков может предотвратить многие дорогостоящие головные боли в будущем. Например, развертывая DNSSEC, вы можете повысить свою уверенность в части своей ключевой инфраструктуры DNS.
