Sommario:
Ad aprile, un hacker olandese è stato arrestato per quello che viene chiamato il più grande attacco di denial of service distribuito mai visto. L'attacco è stato perpetrato contro Spamhaus, un'organizzazione anti-spam, e secondo ENISA, l'agenzia di sicurezza IT dell'Unione Europea, il carico sull'infrastruttura di Spamhaus ha raggiunto 300 gigabit al secondo, tre volte il record precedente. Ha anche causato una grande congestione di Internet e bloccato le infrastrutture Internet in tutto il mondo.
Naturalmente, gli attacchi DNS non sono quasi rari. Ma mentre l'hacker nel caso Spamhaus intendeva solo danneggiare il suo obiettivo, le maggiori ramificazioni dell'attacco hanno anche indicato quello che molti chiamano un grave difetto nell'infrastruttura Internet: il Domain Name System. Di conseguenza, i recenti attacchi all'infrastruttura DNS di base hanno lasciato tecnici e uomini d'affari a cercare soluzioni. E tu? È importante sapere quali opzioni sono disponibili per rafforzare l'infrastruttura DNS della propria azienda e come funzionano i server radice DNS. Diamo un'occhiata ad alcuni dei problemi e a cosa possono fare le imprese per proteggersi. (Ulteriori informazioni su DNS in DNS: un protocollo per regolarli tutti.)
Infrastruttura esistente
Il Domain Name System (DNS) è di una volta che Internet ha dimenticato. Ma questo non rende vecchie notizie. Con la minaccia in continua evoluzione degli attacchi informatici, il DNS è stato oggetto di numerosi controlli nel corso degli anni. Nella sua infanzia, DNS non offriva forme di autenticazione per verificare l'identità di un mittente o di un destinatario di query DNS.
In effetti per molti anni, i server dei nomi più importanti, o root server, sono stati oggetto di attacchi ampi e vari. Al giorno d'oggi sono geograficamente diversi e gestiti da diversi tipi di istituzioni, inclusi enti governativi, entità commerciali e università, per mantenere la loro integrità.
In modo allarmante, alcuni attacchi hanno avuto un certo successo in passato. Un attacco paralizzante sull'infrastruttura del server root, ad esempio, si è verificato nel 2002 (leggi un rapporto al riguardo qui). Sebbene non abbia creato un impatto evidente per la maggior parte degli utenti di Internet, ha attirato l'attenzione dell'FBI e del Dipartimento della sicurezza nazionale degli Stati Uniti perché era altamente professionale e altamente mirato, interessando nove dei 13 server root operativi. Se fosse durato più di un'ora, dicono gli esperti, i risultati avrebbero potuto essere catastrofici, rendendo gli elementi dell'infrastruttura DNS di Internet quasi inutili.
Sconfiggere una parte così integrale dell'infrastruttura di Internet darebbe a un aggressore di successo una grande potenza. Di conseguenza, da allora sono stati applicati tempi e investimenti significativi al problema della protezione dell'infrastruttura del server root. (Puoi controllare una mappa che mostra i server root e i loro servizi qui.)
Protezione del DNS
A parte l'infrastruttura di base, è altrettanto importante considerare quanto solida possa essere l'infrastruttura DNS della propria azienda contro l'attacco e il fallimento. È comune ad esempio (e dichiarato in alcuni RFC) che i server dei nomi dovrebbero risiedere su sottoreti o reti completamente diverse. In altre parole, se l'ISP A ha un'interruzione completa e il tuo server dei nomi principale non è in linea, allora l'ISP B continuerà a fornire i tuoi dati DNS chiave a chiunque ne faccia richiesta.
Le estensioni di sicurezza del sistema dei nomi di dominio (DNSSEC) sono uno dei modi più popolari con cui le aziende possono proteggere la propria infrastruttura di server dei nomi. Si tratta di un componente aggiuntivo per garantire che la macchina che si collega ai server dei nomi sia quella che dice. DNSSEC consente inoltre l'autenticazione per identificare da dove provengono le richieste, nonché per verificare che i dati stessi non siano stati modificati lungo il percorso. Tuttavia, a causa della natura pubblica del Domain Name System, la crittografia utilizzata non garantisce la riservatezza dei dati, né ha alcun concetto della sua disponibilità qualora parti dell'infrastruttura subiscano un errore di qualche descrizione.
Un certo numero di record di configurazione viene utilizzato per fornire questi meccanismi inclusi i tipi di record RRSIG, DNSKEY, DS e NSEC. (Per ulteriori informazioni, consulta 12 Spiegazioni dei record DNS.)
RRISG viene utilizzato ogni volta che DNSSEC è disponibile sia per la macchina che invia la query sia per quella che la invia. Questo record viene inviato insieme al tipo di record richiesto.
Un DNSKEY contenente informazioni firmate potrebbe essere simile al seguente:
ripe.net ha un record DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Il record DS o del firmatario delegato viene utilizzato per autenticare la catena di fiducia in modo che un genitore e una zona figlio possano comunicare con un ulteriore livello di conforto.
Le voci NSEC, o successive sicure, passano essenzialmente alla successiva voce valida in un elenco di voci DNS. È un metodo che può essere utilizzato per restituire una voce DNS inesistente. Ciò è importante in modo che solo le voci DNS configurate siano considerate autentiche.
NSEC3, un meccanismo di sicurezza migliorato per aiutare a mitigare gli attacchi in stile dizionario, è stato ratificato nel marzo 2008 in RFC 5155.
Ricezione DNSSEC
Sebbene molti sostenitori abbiano investito nella distribuzione di DNSSEC, non è privo di critiche. Nonostante la sua capacità di aiutare ad evitare attacchi come gli attacchi man-in-the-middle, in cui le query possono essere dirottate e alimentate erroneamente senza volerlo a coloro che generano query DNS, ci sono presunti problemi di compatibilità con alcune parti dell'infrastruttura Internet esistente. Il problema principale è che il DNS di solito utilizza il protocollo UDP (User Datagram Protocol) meno affamato di larghezza di banda, mentre DNSSEC utilizza il protocollo TCP (Transmission Control Protocol) più pesante per trasmettere i propri dati avanti e indietro per una maggiore affidabilità e responsabilità. Gran parte della vecchia infrastruttura DNS, che viene riempita con milioni di richieste DNS 24 ore al giorno, sette giorni alla settimana, potrebbe non essere in grado di aumentare il traffico. Tuttavia, molti credono che DNSSEC sia un passo importante verso la protezione dell'infrastruttura Internet.
Mentre nulla nella vita è garantito, impiegare del tempo per considerare i propri rischi potrebbe prevenire molti costosi mal di testa in futuro. Distribuendo DNSSEC, ad esempio, è possibile aumentare la sicurezza in parti dell'infrastruttura DNS chiave.
