Sisällysluettelo:
Huhtikuussa pidätettiin hollantilainen hakkeri siitä, mitä kutsutaan kaikkien aikojen suurimmaksi hajautetuksi palvelunestohyökkäykseksi. Hyökkäys tehtiin Spamhausille, joka on roskapostin vastainen organisaatio, ja Euroopan unionin tietoturvaviraston ENISA: n mukaan Spamhausin infrastruktuurin kuormitus oli 300 gigabittiä sekunnissa, mikä on kolme kertaa aiempi ennätys. Se aiheutti myös suuria ruuhkia Internetissä ja tukki Internet-infrastruktuurin maailmanlaajuisesti.
Tietysti DNS-hyökkäykset ovat tuskin harvinaisia. Mutta vaikka Spamhaus-tapauksen hakkeri tarkoitti vain vahingoittaa kohdetta, hyökkäyksen suuret seuraukset osoittivat myös sitä, mitä monet kutsuvat Internet-infrastruktuurin suureksi puutteeksi: Domain Name System. Tämän seurauksena äskettäiset hyökkäykset DNS-ydininfrastruktuuriin ovat jättäneet teknikot ja liikemiehet etsimään ratkaisuja. Entä sinä? On tärkeää tietää, mitä vaihtoehtoja sinulla on oman yrityksen DNS-infrastruktuurin tukemiseksi, sekä kuinka DNS-juuripalvelimet toimivat. Katsotaanpa joitain ongelmia ja mitä yritykset voivat tehdä suojellakseen itseään. (Lisätietoja DNS: stä DNS: ssä: Yksi protokolla hallita heitä kaikkia.)
Olemassa oleva infrastruktuuri
Verkkotunnuksen nimijärjestelmä (DNS) on aika, jonka Internet on unohtanut. Mutta se ei tee siitä vanhoja uutisia. Jatkuvasti muuttuva kyberhyökkäysuhka on DNS: n vuosien varrella seurannut suurta valvontaa. Alkuvaiheessaan DNS ei tarjonnut mitään todennusmuotoja DNS-kyselyjen lähettäjän tai vastaanottajan henkilöllisyyden todentamiseksi.
Itse asiassa varsinaisiin nimipalvelimiin tai juuripalvelimiin on jo useita vuosia kohdistettu laajoja ja monipuolisia hyökkäyksiä. Nykyään ne ovat maantieteellisesti monimuotoisia ja niitä hoitavat erityyppiset laitokset, mukaan lukien valtion elimet, kaupalliset yksiköt ja yliopistot, eheyden ylläpitämiseksi.
Hälyttävästi jotkut hyökkäykset ovat olleet menestyksekkäitä menneisyydessä. Esimerkiksi juuripalvelininfrastruktuuriin kohdistui turmeltuneita hyökkäyksiä esimerkiksi vuonna 2002 (lue raportti tästä). Vaikka se ei aiheuttanut huomattavaa vaikutusta useimmille Internet-käyttäjille, se herätti FBI: n ja Yhdysvaltain sisäisen turvallisuuden ministeriön huomion, koska se oli erittäin ammattimainen ja hyvin kohdennettu vaikuttaen yhdeksään 13: sta operaattorista juuripalvelimesta. Asiantuntijoiden mukaan tulokset olisivat voineet olla katastrofaalisia, jos ne olisivat kestäneet yli tunnin, ja ne tekisivät Internetin DNS-infrastruktuurin osista hyödytöntä.
Tällaisen Internet-infrastruktuurin olennaisen osan voittaminen antaisi onnistuneelle hyökkääjälle paljon valtaa. Tämän seurauksena juuripalvelininfrastruktuurin turvaamiseen on sittemmin käytetty huomattavasti aikaa ja investointeja. (Voit tarkistaa kartan, jossa näkyvät juuripalvelimet ja niiden palvelut täältä.)
DNS-suojaus
Ydininfrastruktuurin lisäksi on yhtä tärkeää pohtia, kuinka vahva oman yrityksesi DNS-infrastruktuuri voi olla sekä hyökkäystä että epäonnistumista vastaan. On yleistä esimerkiksi (ja joissain RFC: ssä todetaan), että nimipalvelimien tulisi sijaita täysin eri aliverkoissa tai verkoissa. Toisin sanoen, jos ISP A: lla on täydellinen seisokki ja ensisijainen nimipalvelimesi on offline-tilassa, ISP B palvelee silti DNS-avaintietojasi kaikille, jotka sitä pyytävät.
Verkkotunnusten järjestelmän suojauslaajennukset (DNSSEC) ovat yksi suosituimmista tavoista, joilla yritykset voivat turvata oman nimipalvelininfrastruktuurin. Nämä ovat lisäosa, joka varmistaa, että nimipalvelimiin yhdistävä kone on mitä se sanoo olevan. DNSSEC sallii myös todentamisen tunnistaa, mistä pyynnöt tulevat, sekä varmistaa, että itse tietoja ei ole muutettu matkalla. Verkkotunnusten nimijärjestelmän julkisen luonteen vuoksi käytetty salaus ei kuitenkaan takaa tietojen luottamuksellisuutta, eikä sillä ole mitään käsitettä sen saatavuudesta, jos infrastruktuurin osille aiheutuu jonkin kuvauksen virheitä.
Näiden mekanismien tarjoamiseksi käytetään useita konfiguraatiotietueita, mukaan lukien RRSIG-, DNSKEY-, DS- ja NSEC-tietuetyypit. (Lisätietoja saat 12 selitetystä DNS-tietueesta.)
RRISG: tä käytetään aina, kun sekä kyselyä lähettävälle että sitä lähettävälle koneelle on saatavana DNSSEC. Tämä tietue lähetetään yhdessä pyydetyn tietuetyypin kanssa.
Allekirjoitettuja tietoja sisältävä DNSKEY voi näyttää tältä:
ripe.net on DNSKEY levy 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS: ää tai valtuutettua allekirjoittajaa koskevaa tietuetta käytetään auttamaan luottamusketjun todentamisessa, jotta vanhempi ja lapsi-alue voivat kommunikoida lisämukavuuden avulla.
NSEC tai seuraava suojattu merkintä hyppää olennaisesti seuraavaan kelvolliseen kohtaan DNS-merkintöjen luettelossa. Se on menetelmä, jota voidaan käyttää olematon DNS-merkinnän palauttamiseen. Tämä on tärkeää, jotta vain määritettyjen DNS-merkintöjen luotettavuus on aito.
NSEC3, parannettu tietoturvamekanismi sanakirjatyyppisten hyökkäysten lieventämiseksi, ratifioitiin maaliskuussa 2008 RFC 5155: ssä.
DNSSEC-vastaanotto
Vaikka monet kannattajat ovat investoineet DNSSEC: n käyttöönottoon, se ei ole ilman kriitikkoja. Huolimatta kyvystään välttää hyökkäyksiä, kuten keskitason ihmisten hyökkäyksiä, joissa kyselyitä voidaan kaapata ja syöttää tahattomasti DNS-kyselyjä tuottaville, on väitetty yhteensopivuusongelmia nykyisen Internet-infrastruktuurin tiettyjen osien kanssa. Pääongelma on, että DNS käyttää yleensä vähemmän kaistanleveyttä käyttävää UDP-protokollaa, kun taas DNSSEC käyttää raskaampaa lähetysohjausprotokollaa (TCP) siirtääkseen tietojaan edestakaisin suuremman luotettavuuden ja vastuuvelvollisuuden saavuttamiseksi. Suuret osat vanhasta DNS-infrastruktuurista, joka täydentää miljoonia DNS-pyyntöjä 24 tuntia vuorokaudessa, seitsemänä päivänä viikossa, eivät ehkä pysty lisäämään liikennettä. Silti monet uskovat, että DNSSEC on merkittävä askel kohti Internet-infrastruktuurin turvaamista.
Vaikka mitään elämässä ei ole taattu, omien riskien harkitseminen voi estää monia kalliita päänsärkyjä tulevaisuudessa. Asentamalla esimerkiksi DNSSEC-palvelua, voit lisätä itseluottamusta avain-DNS-infrastruktuurin osiin.