Turinys:
Balandžio mėn. Buvo areštuotas olandų įsilaužėlis už tai, kas vadinama didžiausia kada nors matyta išpuolių prieš tarnybą neigimo ataka. Išpuolis buvo įvykdytas prieš šlamštą veikiančiai organizacijai „Spamhaus“, o Europos Sąjungos IT saugumo agentūros ENISA duomenimis, „Spamhaus“ infrastruktūros apkrova siekė 300 gigabitų per sekundę, tris kartus daugiau nei ankstesnis rekordas. Tai taip pat sukėlė dideles interneto perkrovas ir užstrigo interneto infrastruktūra visame pasaulyje.
Žinoma, DNS atakos nėra retos. Tačiau nors įsilaužėlis „Spamhaus“ byloje norėjo tik pakenkti jo taikiniui, didesni užpuolimo padariniai taip pat atkreipė dėmesį į tai, ką daugelis vadina esmine interneto infrastruktūros yda: domenų vardų sistema. Dėl pastarojo meto atakų prieš pagrindinę DNS infrastruktūrą technikai ir verslininkai buvo linkę ieškoti sprendimų. Taigi, kaip tu? Svarbu žinoti, kokias parinktis galite palaikyti savo verslo DNS infrastruktūrai, taip pat kaip veikia DNS šakniniai serveriai. Taigi pažvelkime į kai kurias problemas ir tai, ką verslas gali padaryti, kad apsisaugotų. (Sužinokite daugiau apie DNS sistemoje DNS: Vienas protokolas visiems juos valdyti.)
Esamoji infrastruktūra
Nuo tada, kai internetas pamiršo, domenų vardų sistema (DNS). Bet tai nepadaro senų naujienų. Dėl nuolat kintančių kibernetinių išpuolių grėsmės, bėgant metams DNS buvo atliekama labai atidžiai. Dar kūdikystėje DNS nesiūlė jokių autentifikavimo formų, kad patikrintų DNS užklausų siuntėjo ar gavėjo tapatybę.
Tiesą sakant, daugelį metų patys pagrindiniai vardų serveriai arba šakniniai serveriai buvo smarkiai ir įvairiai atakuojami. Šiomis dienomis jos yra geografiškai įvairios ir jas tvarko įvairaus tipo institucijos, įskaitant vyriausybines įstaigas, komercinius subjektus ir universitetus, kad išlaikytų savo vientisumą.
Nerimą kelia tai, kad praeityje kai kurie išpuoliai buvo šiek tiek sėkmingi. Piktnaudžiavimas šaknies serverio infrastruktūra, pavyzdžiui, įvyko 2002 m. (Pranešimą apie tai skaitykite čia). Nors jis nesukūrė pastebimo poveikio daugumai interneto vartotojų, tačiau sulaukė FTB ir JAV Tėvynės saugumo departamento dėmesio, nes buvo labai profesionalus ir tikslingas, paveikdamas devynis iš 13 veikiančių šakninių serverių. Ekspertai teigia, kad jei ji išliktų ilgiau nei valandą, rezultatai būtų buvę katastrofiški ir dėl to interneto DNS infrastruktūros elementai taptų nenaudingi.
Jei nugalėsite tokią neatsiejamą interneto infrastruktūros dalį, sėkmingas užpuolikas suteiktų didelę galią. Dėl to šakninio serverio infrastruktūros apsaugos reikalavimui buvo skiriama nemažai laiko ir investicijų. (Žemėlapį, kuriame pateikiami šakniniai serveriai ir jų paslaugos, galite peržiūrėti čia.)
Saugoti DNS
Be pagrindinės infrastruktūros, taip pat svarbu apsvarstyti, kokia tvirta jūsų verslo DNS infrastruktūra gali būti ir nuo išpuolių, ir dėl nesėkmių. Pvz., (Ir nurodoma kai kuriuose RFC) yra įprasta, kad vardų serveriai turi būti visiškai skirtinguose potinkliuose ar tinkluose. Kitaip tariant, jei ISP A visiškai neveikia, o pagrindinis vardo serveris atsijungia, ISP B vis tiek teiks jūsų pagrindinius DNS duomenis visiems, kurie to prašo.
Domenų vardų sistemos saugos plėtiniai (DNSSEC) yra vienas iš populiariausių būdų, kaip įmonės gali apsaugoti savo vardų serverių infrastruktūrą. Tai yra priedas, užtikrinantis, kad mašina, jungianti prie jūsų vardų serverių, yra tokia, kokia ji sako. DNSSEC taip pat leidžia autentifikuoti, kad būtų galima nustatyti, iš kur kyla užklausos, taip pat patikrinti, ar patys duomenys nebuvo pakeisti pakeliui. Tačiau dėl viešo domenų vardų sistemos pobūdžio naudojama kriptografija neužtikrina duomenų konfidencialumo ir neturi jokios prieigos prie jos koncepcijos, jei dėl kokių nors infrastruktūros objektų nepavyktų apibūdinti.
Šiems mechanizmams pateikti naudojama daugybė konfigūracijos įrašų, įskaitant RRSIG, DNSKEY, DS ir NSEC įrašų tipus. (Norėdami gauti daugiau informacijos, skaitykite 12 paaiškintų DNS įrašų.)
RRISG naudojamas, kai DNSSEC yra prieinamas tiek mašinai, pateikiančiai užklausą, tiek ją siunčiančiam. Šis įrašas bus išsiųstas kartu su prašomu įrašo tipu.
DNSKEY, kuriame yra pasirašyta informacija, gali atrodyti taip:
ripe.net turi DNSKEY rekordą 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS arba įgaliotojo pasirašančiojo įrašas yra naudojamas padėti autentifikuoti pasitikėjimo grandinę, kad tėvai ir vaikas galėtų bendrauti naudodamiesi papildomu komforto laipsniu.
NSEC arba kiti saugūs įrašai iš esmės pereina prie kito galiojančio įrašo DNS įrašų sąraše. Tai metodas, kurį galima naudoti norint grąžinti neegzistuojantį DNS įrašą. Tai svarbu, kad tik sukonfigūruoti DNS įrašai būtų patikimi kaip autentiški.
Patobulintas saugumo mechanizmas NSEC3, padedantis sušvelninti žodyno stiliaus išpuolius, buvo ratifikuotas 2008 m. Kovo mėn. RFC 5155.
DNSSEC priėmimas
Nors daugelis šalininkų investavo į DNSSEC diegimą, ji be kritikų nenusileidžia. Nepaisant gebėjimo padėti išvengti tokių išpuolių, kaip antai „vidurio žmogus“, kai užklausos gali būti užgrobtos ir neteisingai pateikiamos DNS norinčių generuoti, tai yra tariamų suderinamumo problemų su tam tikromis esamos interneto infrastruktūros dalimis. Pagrindinė problema yra ta, kad DNS dažniausiai naudoja mažiau pralaidumo reikalaujantį vartotojo duomenų diagramos protokolą (UDP), tuo tarpu DNSSEC naudoja sunkesnį perdavimo valdymo protokolą (TCP) perduodant savo duomenis pirmyn ir atgal, kad būtų didesnis patikimumas ir atskaitomybė. Didelės senos DNS infrastruktūros, kuriai trūksta milijonų DNS užklausų 24 valandas per parą, septynias dienas per savaitę, dalys negali padidinti srauto. Nepaisant to, daugelis mano, kad DNSSEC yra svarbus žingsnis siekiant užtikrinti interneto infrastruktūrą.
Nors nieko gyvenime nėra garantuojama, jei praeisite šiek tiek laiko apsvarstyti savo riziką, ateityje išvengsite brangaus galvos skausmo. Pvz., Diegdami DNSSEC galite padidinti pasitikėjimą savo pagrindinės DNS infrastruktūros dalimis.
