Преглед садржаја:
У априлу је холандски хакер ухапшен због, како се назива, највећег дистрибуираног напада за ускраћивање услуге икада виђеног. Напад је почињен на Спамхаус, анти-спам организацији, а према ЕНИСА, агенцији за сигурност ИТ-а Европске уније, оптерећење Спамхаусове инфраструктуре достигло је 300 гигабита у секунди, што је три пута више од претходног рекорда. Такође је изазвао велике загушења интернета и заглавио интернетску инфраструктуру широм света.
Наравно, напади ДНС-а су ретко ретки. Но, иако је хакер у случају Спамхаус само желео наштетити својој мета, веће последице напада такође су указале на оно што многи називају великим промашајем у интернетској инфраструктури: Домаин Наме Систем. Као резултат, недавни напади на основну ДНС инфраструктуру оставили су техничаре и привреднике да се баве решењима. Па шта је са тобом? Важно је знати које су вам опције за јачање ДНС инфраструктуре вашег предузећа као и начин рада ДНС роот сервера. Погледајмо неке од проблема и шта компаније могу да заштите како би се заштитиле. (Сазнајте више о ДНС-у у ДНС-у: Један протокол за правило свих.)
Постојећа инфраструктура
ДНС систем је из времена када је Интернет заборавио. Али то не чини старе вести. Уз стално променљиву претњу од цибер-напада, ДНС је током година био под великим надзором. ДНС је у својој раној фази понудио ниједан облик аутентификације за верификацију идентитета пошиљаоца или примаоца ДНС упита.
У ствари већ дуги низ година сами језграни сервери имена или роот сервери били су изложени опсежним и разноликим нападима. Ових дана су географски разнолике и њима управљају различите врсте институција, укључујући владине органе, привредне субјекте и универзитете да би одржале свој интегритет.
Алармантно, неки напади су у прошлости били донекле успешни. Напримјер, напад на инфраструктуру коријенског сервера догодио се, на примјер, 2002. године (извјештај о томе прочитајте овдје). Иако није створио приметни утицај на већину корисника Интернета, привукао је пажњу ФБИ-а и Министарства за унутрашњу безбедност САД-а, јер је био високо професионалан и високо циљан, а утицао је на девет од 13 оперативних роот послужитеља. Да су трајали дуже од једног сата, кажу стручњаци, резултати би могли бити катастрофални, чинећи елементе интернет ДНС-а на Интернету бескорисним.
Поразом таквог саставног дела Интернет инфраструктуре омогућило би се успешном нападачу велику снагу. Као резултат, од тада је уложено значајно време и улагања у питање обезбеђења инфраструктуре коријенског сервера. (Овде можете погледати карту која приказује роот сервере и њихове услуге.)
Осигуравање ДНС-а
Поред основне инфраструктуре, подједнако је важно узети у обзир и колико ће робусна ДНС инфраструктура вашег предузећа бити против напада и неуспеха. На пример, уобичајено је (и наведено у неким РФЦ-овима) да сервери имена треба да бораве у потпуно различитим подмрежама или мрежама. Другим речима, ако ИСП А има потпуни прекид и ваш примарни сервер имена остаје ван мреже, ИСП Б ће и даље служити вашим кључним ДНС подацима ономе ко га затражи.
Проширења система безбедности домена (ДНССЕЦ) један су од најпопуларнијих начина на који предузећа могу да осигурају своју властиту инфраструктуру сервера имена. Ово су додатак који осигурава да машина која се повезује на ваше сервере имена буде оно што пише. ДНССЕЦ такође омогућава аутентификацију за препознавање одакле захтеви долазе, као и за проверу да сами подаци нису промењени током пута. Међутим, због јавне природе система имена домена, коришћена криптографија не обезбеђује поверљивост података, нити има било какав концепт његове доступности уколико делови инфраструктуре трпе неуспех у неком опису.
За обезбеђивање ових механизама користе се бројни подаци о конфигурацији, укључујући врсте записа РРСИГ, ДНСКЕИ, ДС и НСЕЦ. (За више информација погледајте 12 објашњених ДНС записа.)
РРИСГ се користи кад год је ДНССЕЦ доступан како машини која шаље захтев, тако и ономе која га шаље. Овај запис се шаље заједно са траженом врстом записа.
ДНСКЕИ који садржи потписане информације може изгледати овако:
рипе.нет има ДНСКЕИ рекорд 257 3 5 АвЕААКСф2кви4с5К1ВХпКВи / кЗГиИ4БМиг8еЈИбРООв3ИиХ1У8фДвмв6к БВкВЗнтИтИУОУ0рк + И7вЗЦвСН1АцИи0 / ЗјЛ7цНлкц3Ордл2ДиалФХПИ6 УбСКкИп3л / 5фСВв5кнбнЗ8КА7г3Е6фкАДНИЕарМИ4АРЦВлоук8ГпКХт1 1вНВ1ц65СВБ8и958ВЗЈ6ЛИ0пОТНК + БИк8у98б + ЕВр7Ц08дПпр9В6Еу / 7 3уиПсУкЦиРкМЛотРФБвК8КгвФ9КО1ц9МКСјтмЈкДТ067оЈоНБИК + гвСО9 КцГаРкуГЕЕФВвЦбаТвгбК4Е0ОоИКСРјЗриЈј8ЛКСКСЛБЕЈен6Н0иУзј8нки КССЦм5сНкрРк =
Запис ДС-а или делегираног потписника користи се да помогне аутентификацији ланца поверења тако да родитељ и дечја зона могу комуницирати са додатним степеном удобности.
НСЕЦ или следећи сигурни уноси у основи прелазе на следећи важећи унос на листи ДНС уноса. То је метода која се може користити за повратак непостојећег уноса ДНС-а. Ово је важно тако да се верују само оригинални ДНС уноси као изворни.
НСЕЦ3, побољшани безбедносни механизам за ублажавање напада у стилу речника, ратификован је у марту 2008. године у РФЦ 5155.
ДНССЕЦ Пријем
Иако су многи заговорници уложили у увођење ДНССЕЦ-а, није без критичара. Упркос својој способности да помогне у избегавању напада попут напада човека у средини, где се упити могу неовлаштено отети и погрешно хранити онима који генеришу ДНС упите, постоје наводни проблеми са компатибилношћу са одређеним деловима постојеће Интернет инфраструктуре. Главни проблем је у томе што ДНС обично користи протокол корисничког датаграма (УДП) који не пати о ширини пропусне ширине док ДНССЕЦ користи тежи протокол за контролу преноса (ТЦП) да би проследио своје податке напред и назад ради веће поузданости и одговорности. Велики делови старе ДНС инфраструктуре, који су прекривени милионима ДНС захтева 24 сата дневно, седам дана у недељи, можда неће моћи да повећају промет. Иако је тако, многи сматрају да је ДНССЕЦ важан корак ка обезбеђивању Интернет инфраструктуре.
Иако ништа у животу није загарантовано, узимање времена за разматрање властитих ризика може спречити многе скупе главобоље у будућности. Примера ради, на пример, ДНССЕЦ можете да повећате своје поверење у делове кључне ДНС инфраструктуре.
