Indholdsfortegnelse:
I april blev en hollandsk hacker arresteret for det, der kaldes det største distribuerede angreb på nægtelse af tjeneste, der nogensinde er set. Angrebet blev begået på Spamhaus, en anti-spam-organisation, og ifølge ENISA, Den Europæiske Unions IT-sikkerhedsagentur, nåede belastningen på Spamhaus's infrastruktur 300 gigabits per sekund, tre gange den forrige rekord. Det forårsagede også stor internetbelastning og fastklemte internetinfrastruktur overalt i verden.
Selvfølgelig er DNS-angreb næppe sjældne. Men mens hackeren i Spamhaus-sagen kun betød at skade hans mål, pegede de større konsekvenser af angrebet også på, hvad mange kalder en stor fejl i internetinfrastrukturen: Domain Name System. Som et resultat har de nylige angreb på kerne-DNS-infrastruktur efterladt teknikere og forretningsfolk både efter løsninger. Hvad med dig? Det er vigtigt at vide, hvilke muligheder du har til at styrke din egen virksomheds DNS-infrastruktur samt hvordan DNS-rodserverne fungerer. Så lad os se på nogle af problemerne, og hvad virksomheder kan gøre for at beskytte sig selv. (Lær mere om DNS i DNS: Én protokol til at styre dem alle.)
Eksisterende infrastruktur
Domain Name System (DNS) er fra et tidspunkt, hvor Internettet har glemt. Men det gør det ikke til gamle nyheder. Med den stadigt skiftende trussel om cyberangreb er DNS gennemgået en stor gennemgang gennem årene. I sin spædbarn tilbød DNS ingen former for godkendelse til at verificere identiteten af en afsender eller modtager af DNS-forespørgsler.
Faktisk har kerne navneservere eller rodservere i mange år været udsat for omfattende og varierede angreb. I disse dage er de geografisk forskellige og drives af forskellige typer institutioner, herunder regeringsorganer, kommercielle enheder og universiteter, for at bevare deres integritet.
Alarmerende har nogle angreb været noget succesrige tidligere. Et ødelæggende angreb på rodserverinfrastrukturen fandt for eksempel sted i 2002 (læs en rapport om det her). Selvom det ikke skabte en mærkbar indflydelse for de fleste internetbrugere, tiltrakkede det FBI og det amerikanske ministerium for hjemmesikkerhed opmærksomhed, fordi det var meget professionelt og meget målrettet, hvilket påvirkede ni af de 13 operative rodservere. Hvis det varede i mere end en time, siger eksperter, kunne resultaterne have været katastrofale, hvilket gjorde elementer af Internets DNS-infrastruktur alt andet end ubrugelige.
At besejre en sådan integreret del af Internets infrastruktur ville give en succesrig angriber en stor magt. Som et resultat er der siden anvendt betydelig tid og investering i spørgsmålet om at sikre rodserverinfrastrukturen. (Du kan tjekke et kort, der viser rodservere og deres tjenester her.)
Sikring af DNS
Bortset fra kerneinfrastrukturen er det lige så vigtigt at overveje, hvor robust din egen virksomheds DNS-infrastruktur kan være imod både angreb og fiasko. Det er almindeligt for eksempel (og angivet i nogle RFC'er), at navneservere skal opholde sig på helt forskellige undernet eller netværk. Med andre ord, hvis ISP A har en fuld strømafbrydelse, og din primære navneserver falder offline, vil ISP B stadig vise dine centrale DNS-data til alle, der anmoder om det.
Domain Name System Security Extensions (DNSSEC) er en af de mest populære måder, hvorpå virksomheder kan sikre deres egen navneserverinfrastruktur. Dette er en tilføjelse for at sikre, at maskinen, der opretter forbindelse til dine navneservere, er, som den siger, den er. DNSSEC tillader også godkendelse til identifikation af, hvor anmodningerne kommer fra, samt at kontrollere, at dataene i sig selv ikke er ændret undervejs. På grund af det offentlige karakter af domænenavnsystemet garanterer den anvendte kryptografi ikke fortroligheden af dataene, og den har heller ikke noget koncept om dets tilgængelighed, hvis dele af infrastrukturen lider under en fejl i en eller anden beskrivelse.
Et antal konfigurationsposter bruges til at tilvejebringe disse mekanismer, herunder RRSIG, DNSKEY, DS og NSEC-posttyper. (For mere information, se 12 DNS-poster, der er forklaret.)
RRISG bruges, når DNSSEC er tilgængeligt både for maskinen, der sender forespørgslen, og den, der sender den. Denne post sendes sammen med den ønskede posttype.
En DNSKEY, der indeholder underskrevne oplysninger, kan se sådan ud:
ripe.net har en DNSKEY record 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS, eller delegeret underskriver, bruges til at hjælpe med at autentificere kæden af tillid, så en forælder og et børneområde kan kommunikere med en ekstra grad af komfort.
NSEC, eller næste sikre poster, springer i det væsentlige til den næste gyldige post på en liste over DNS-poster. Det er en metode, der kan bruges til at returnere en ikke-eksisterende DNS-post. Dette er vigtigt, så kun konfigurerede DNS-poster er tillid til at være ægte.
NSEC3, en forbedret sikkerhedsmekanisme til at hjælpe med at mindske angreb i ordbogstil, blev ratificeret i marts 2008 i RFC 5155.
DNSSEC-modtagelse
Selvom mange fortalere har investeret i at indsætte DNSSEC, er det ikke uden dens kritikere. På trods af dens evne til at hjælpe med at undgå angreb som f.eks. Mand-i-midten-angreb, hvor forespørgsler kan kapres og forkert fodres uden vilje til dem, der genererer DNS-forespørgsler, er der påståede kompatibilitetsproblemer med visse dele af den eksisterende internetinfrastruktur. Hovedproblemet er, at DNS normalt bruger den mindre båndbredde-sultne User Datagram Protocol (UDP), mens DNSSEC bruger den tungere Transmission Control Protocol (TCP) til at videregive sine data frem og tilbage for større pålidelighed og ansvarlighed. Store dele af den gamle DNS-infrastruktur, der bliver pepret med millioner af DNS-anmodninger 24 timer i døgnet, syv dage om ugen, er muligvis ikke i stand til at øge trafikken. Alligevel mener mange, at DNSSEC er et stort skridt hen imod sikring af internetinfrastruktur.
Selvom intet i livet er garanteret, kan det at tage nogen tid at overveje dine egne risici forhindre mange dyre hovedpine i fremtiden. Ved for eksempel at installere DNSSEC kan du øge din tillid til dele af din nøgle DNS-infrastruktur.
