Satura rādītājs:
Aprīlī tika arestēts holandiešu hakeris par to, kas tiek saukts par visu laiku plašāko izplatīto uzbrukumu pakalpojumu atteikšanai. Uzbrukums tika izdarīts pret surogātpastu vērstu organizāciju Spamhaus, un saskaņā ar Eiropas Savienības IT drošības aģentūras ENISA datiem Spamhaus infrastruktūras slodze sasniedza 300 gigabitus sekundē, trīs reizes pārsniedzot iepriekšējo rekordu. Tas arī izraisīja ievērojamus interneta sastrēgumus un traucēja interneta infrastruktūru visā pasaulē.
Protams, DNS uzbrukumi nav reti. Bet, lai gan hakeris Spamhaus lietā tikai nozīmēja kaitēt viņa mērķim, lielāki uzbrukuma secinājumi arī norādīja uz to, ko daudzi sauc par būtisku interneta infrastruktūras trūkumu: domēna vārdu sistēmu. Tā rezultātā nesenie uzbrukumi DNS pamata infrastruktūrai ir ļāvuši tehniķiem un uzņēmējiem meklēt risinājumus. Kā tad tev? Ir svarīgi zināt, kādas ir jūsu uzņēmuma DNS infrastruktūras atbalstīšanas iespējas, kā arī to, kā darbojas DNS sakņu serveri. Apskatīsim dažas problēmas un to, ko uzņēmumi var darīt, lai sevi aizsargātu. (Uzziniet vairāk par DNS DNS: Viens protokols visu to pārvaldīšanai.)
Esošā infrastruktūra
Domēna vārda sistēma (DNS) ir no brīža, kad internets to ir aizmirsis. Bet tas nepadara tās par vecām ziņām. Ar nepārtraukti mainīgajiem kiberuzbrukumu draudiem gadu gaitā DNS ir ticis pakļauts daudz rūpīgu pārbaudi. Sākumstadijā DNS nepiedāvāja nekādas autentifikācijas formas, lai pārbaudītu DNS vaicājumu sūtītāja vai saņēmēja identitāti.
Faktiski daudzus gadus galvenie vārdu serveri jeb sakņu serveri ir bijuši pakļauti plašiem un daudzveidīgiem uzbrukumiem. Mūsdienās tās ir ģeogrāfiski daudzveidīgas, un, lai saglabātu integritāti, tās darbojas dažāda veida iestādes, ieskaitot valdības struktūras, komerciālas vienības un universitātes.
Satraucoši, ka daži uzbrukumi iepriekš ir bijuši nedaudz veiksmīgi. Crippling uzbrukums saknes servera infrastruktūrai, piemēram, notika 2002. gadā (pārskatu par to lasiet šeit). Lai gan tas neradīja ievērojamu ietekmi lielākajai daļai interneta lietotāju, tas tomēr piesaistīja FBI un ASV Iekšzemes drošības departamenta uzmanību, jo tas bija ļoti profesionāls un ļoti mērķtiecīgs, ietekmējot deviņus no 13 sakņu serveriem. Ja ekspertīze saka, ka tā būtu ilgāk par vienu stundu, rezultāti varēja būt katastrofiski, padarot interneta DNS infrastruktūras elementus par bezjēdzīgiem.
Šādas neatņemamas interneta infrastruktūras daļas sakāve veiksmīgam uzbrucējam piešķirs daudz spēka. Tā rezultātā saknes servera infrastruktūras nodrošināšanai ir pielietots ievērojams laiks un ieguldījumi. (Šeit varat apskatīt karti, kurā parādīti saknes serveri un to pakalpojumi.)
DNS nodrošināšana
Neatkarīgi no pamata infrastruktūras, tikpat svarīgi ir arī apsvērt, cik stabila jūsu uzņēmuma DNS infrastruktūra varētu būt gan uzbrukuma, gan neveiksmes gadījumā. Piemēram, (un dažos RFC ir teikts) vārda serveriem jāatrodas pilnīgi atšķirīgos apakštīklos vai tīklos. Citiem vārdiem sakot, ja ISP A ir pilnībā pārtraukta un jūsu primārā vārda serveris ir bezsaistē, tad ISP B joprojām kalpos jūsu galvenajiem DNS datiem visiem, kas to pieprasa.
Domēna vārdu sistēmas drošības paplašinājumi (DNSSEC) ir viens no populārākajiem veidiem, kā uzņēmumi var nodrošināt savu vārdu servera infrastruktūru. Šie ir papildinājumi, lai nodrošinātu, ka mašīna, kas savieno ar jūsu vārdu serveriem, ir tāda, kāda tā saka. DNSSEC ļauj arī autentificēties, lai identificētu, no kurienes nāk pieprasījumi, kā arī pārbaudītu, vai paši dati ceļā nav mainīti. Tomēr domēna vārdu sistēmas publiskā rakstura dēļ izmantotā kriptogrāfija nenodrošina datu konfidencialitāti, kā arī tai nav koncepcijas par tās pieejamību, ja kādas infrastruktūras daļas cieš no kāda apraksta trūkuma.
Šo mehānismu nodrošināšanai izmanto vairākus konfigurācijas ierakstus, ieskaitot RRSIG, DNSKEY, DS un NSEC ierakstu veidus. (Lai iegūtu vairāk informācijas, skatiet 12 izskaidrotos DNS ierakstus.)
RRISG tiek izmantots vienmēr, kad DNSSEC ir pieejams gan mašīnai, kas iesniedz vaicājumu, gan mašīnai, kas to nosūta. Šis ieraksts tiek nosūtīts kopā ar pieprasīto ieraksta veidu.
DNSKEY, kas satur parakstītu informāciju, varētu izskatīties šādi:
ripe.net ir DNSKEY ieraksts 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS jeb deleģētā parakstītāja ieraksts tiek izmantots, lai palīdzētu autentificēt uzticības ķēdi, lai vecāku un bērnu zona varētu sazināties ar papildu ērtībām.
NSEC vai nākamie drošie ieraksti būtībā pāriet uz nākamo derīgo ierakstu DNS ierakstu sarakstā. Tā ir metode, kuru var izmantot, lai atgrieztu neesošu DNS ierakstu. Tas ir svarīgi, lai tikai konfigurētie DNS ieraksti tiktu uzticēti kā īsti.
NSEC3, uzlabots drošības mehānisms, lai palīdzētu mazināt vārdnīcu stila uzbrukumus, tika ratificēts 2008. gada martā RFC 5155.
DNSSEC uztveršana
Lai arī daudzi atbalstītāji ir investējuši DNSSEC ieviešanā, tas nav bez kritiķiem. Neskatoties uz spēju palīdzēt izvairīties no tādiem uzbrukumiem kā uzbrukumi cilvēkam-pa vidu, kur vaicājumus var nolaupīt un nepareizi ievadīt pēc vēlēšanās tiem, kas rada DNS vaicājumus, tiek apgalvotas saderības problēmas ar dažām esošās interneta infrastruktūras daļām. Galvenā problēma ir tā, ka DNS parasti izmanto mazāk joslas platuma lietotāja datugrammu protokolu (UDP), turpretī DNSSEC izmanto smagāku pārraides vadības protokolu (TCP), lai pārsūtītu savus datus uz priekšu un atpakaļ, lai nodrošinātu lielāku uzticamību un atbildību. Liela daļa vecās DNS infrastruktūras, kas tiek satriekta ar miljoniem DNS pieprasījumu 24 stundas diennaktī, septiņas dienas nedēļā, var nebūt spējīga palielināt trafiku. Pat tad daudzi uzskata, ka DNSSEC ir nozīmīgs solis ceļā uz interneta infrastruktūras nodrošināšanu.
Kaut arī nekas dzīvē netiek garantēts, veltot laiku sava riska izvērtēšanai, nākotnē varētu novērst daudz dārgu galvassāpju. Piemēram, izvietojot DNSSEC, jūs varat palielināt uzticību savas galvenās DNS infrastruktūras daļām.
