Innehållsförteckning:
I april arresterades en holländsk hackare för det som kallas den största distribuerade attacken för nekande av tjänst som någonsin har sett. Attacken gjordes på Spamhaus, en antispamorganisation, och enligt ENISA, Europeiska unionens IT-säkerhetsbyrå, nådde belastningen på Spamhauss infrastruktur 300 gigabit per sekund, tre gånger tidigare rekord. Det orsakade också stora trafikstockningar och fastnade internetinfrastruktur över hela världen.
Naturligtvis är DNS-attacker knappast sällsynta. Men medan hackaren i Spamhaus-fallet bara menade att skada hans mål, pekade de större konsekvenserna av attacken också på vad många kallar en stor brist i Internetinfrastruktur: Domain Name System. Som ett resultat har de senaste attackerna på kärn-DNS-infrastruktur lämnat både tekniker och affärsmän för att lösa efter lösningar. Du då? Det är viktigt att veta vilka alternativ du har för att förbättra ditt eget företags DNS-infrastruktur samt hur DNS-root-servrarna fungerar. Så låt oss ta en titt på några av problemen och vad företag kan göra för att skydda sig. (Läs mer om DNS i DNS: Ett protokoll för att styra dem alla.)
Befintlig infrastruktur
Domain Name System (DNS) är från en tid sedan Internet har glömt bort. Men det gör det inte till gamla nyheter. Med det ständigt föränderliga hotet om cyberattacker har DNS under många år granskats mycket. I sin barndom erbjöd DNS inga autentiseringsformer för att verifiera identiteten för en avsändare eller mottagare av DNS-frågor.
Faktum är att själva kärnnamnservrarna eller root-servrarna under många år har utsatts för omfattande och varierande attacker. Idag är de geografiskt mångfaldiga och drivs av olika typer av institutioner, inklusive statliga organ, kommersiella enheter och universitet, för att upprätthålla sin integritet.
Väckande angrepp har förvärrande varit något framgångsrikt tidigare. En förkrossande attack på rotserverinfrastrukturen inträffade till exempel 2002 (läs en rapport om den här). Även om det inte skapade en märkbar inverkan för de flesta Internetanvändare, lockade den FBI och US Department of Homeland Security uppmärksamhet eftersom det var mycket professionellt och mycket riktat, vilket påverkade nio av de 13 operativa root-servrarna. Om det hade kvarstått i mer än en timme, säger experter, kunde resultaten ha varit katastrofala, vilket gjort delar av Internet: s DNS-infrastruktur allt utom värdelösa.
Att besegra en sådan integrerad del av Internet: s infrastruktur skulle ge en framgångsrik angripare mycket makt. Som ett resultat har betydande tid och investeringar sedan dess tillämpats i frågan om att säkra rotserverinfrastrukturen. (Du kan kolla in en karta som visar rotservrar och deras tjänster här.)
Säkra DNS
Förutom kärninfrastrukturen är det lika viktigt att överväga hur robust ditt eget företags DNS-infrastruktur kan vara mot både attack och misslyckande. Det är vanligtvis (och i vissa RFC: er) att namnservrar ska vara bosatta på helt olika subnät eller nätverk. Med andra ord, om ISP A har en full strömavbrott och din primära namnserver faller offline, kommer ISP B fortfarande att betjäna dina nyckel-DNS-data till alla som begär det.
Domain Name System Security Extensions (DNSSEC) är ett av de mest populära sätten att företag kan säkra sin egen namnserverinfrastruktur. Dessa är ett tillägg för att säkerställa att maskinen som ansluter till dina namnservrar är vad den säger att den är. DNSSEC tillåter också autentisering för att identifiera var förfrågningarna kommer ifrån, samt verifiera att själva uppgifterna inte har ändrats på väg. På grund av domännamnsystemets offentliga karaktär säkerställer den använda kryptografin emellertid inte konfidentialiteten för uppgifterna, och den har inte heller något begrepp om dess tillgänglighet om delar av infrastrukturen skulle drabbas av någon beskrivning.
Ett antal konfigurationsposter används för att tillhandahålla dessa mekanismer inklusive RRSIG, DNSKEY, DS och NSEC-posttyper. (För mer information, kolla in 12 DNS-poster förklarade.)
RRISG används när DNSSEC är tillgängligt för både maskinen som skickar frågan och den som skickar den. Denna post skickas tillsammans med den begärda posttypen.
En DNSKEY som innehåller signerad information kan se ut så här:
ripe.net har en DNSKEY post 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS, eller delegerad signatör, posten används för att verifiera kedjan av förtroende så att en förälder och en barns zon kan kommunicera med en extra grad av komfort.
NSEC, eller nästa säkra, poster hoppar i huvudsak till nästa giltiga post i en lista med DNS-poster. Det är en metod som kan användas för att returnera en icke-existerande DNS-post. Detta är viktigt så att endast konfigurerade DNS-poster är betrodda som äkta.
NSEC3, en förbättrad säkerhetsmekanism som hjälper till att mildra attacker i ordboken-stil, ratificerades i mars 2008 i RFC 5155.
DNSSEC-mottagning
Även om många förespråkare har investerat i att distribuera DNSSEC är det inte utan kritikerna. Trots sin förmåga att undvika attacker som attacker mellan män och i mitten, där frågor kan kapas och felaktigt matas med vilje till de som genererar DNS-frågor, finns det påstådda kompatibilitetsproblem med vissa delar av den befintliga Internetinfrastrukturen. Huvudfrågan är att DNS vanligtvis använder det mindre bandbredd-hungriga User Datagram Protocol (UDP) medan DNSSEC använder det tyngre Transmission Control Protocol (TCP) för att skicka sina data fram och tillbaka för större tillförlitlighet och ansvarsskyldighet. Stora delar av den gamla DNS-infrastrukturen, som blandas med miljoner DNS-förfrågningar 24 timmar om dygnet, sju dagar i veckan, kanske inte kan öka trafiken. Trots detta tror många att DNSSEC är ett stort steg mot att säkra internetinfrastruktur.
Även om ingenting i livet är garanterat, kan det ta lite tid att överväga dina egna risker förhindra många kostsamma huvudvärk i framtiden. Genom att till exempel distribuera DNSSEC kan du öka ditt förtroende för delar av din viktiga DNS-infrastruktur.
