Taula de continguts:
A l’abril, un pirata informàtic holandès va ser arrestat pel que s’anomena l’atemptat de denegació de serveis més gran que mai s’ha vist. L'atac es va perpetrar a Spamhaus, una organització anti-spam, i segons ENISA, l'agència de seguretat informàtica de la Unió Europea, la càrrega a la infraestructura de Spamhaus va arribar a 300 gigabits per segon, tres vegades el rècord anterior. També va causar congestions importants a Internet i va bloquejar la infraestructura d'Internet a tot el món.
Per descomptat, els atacs de DNS gairebé no són rars. Però, tot i que el pirata informàtic del cas Spamhaus només volia perjudicar el seu objectiu, les ramificacions més grans de l’atac també van apuntar al que molts diuen un defecte important en la infraestructura d’Internet: el sistema de noms de domini. Com a resultat, els atacs recents a la infraestructura DNS bàsica han deixat tècnics i empresaris lluitant per trobar solucions. I què passa amb tu? És important saber quines opcions teniu per reforçar la infraestructura DNS del vostre propi negoci, així com el funcionament dels servidors arrels DNS. Analitzem alguns dels problemes i què poden fer les empreses per protegir-se. (Obteniu més informació sobre DNS en DNS: un protocol per aplicar-los a tots.)
Infraestructura existent
El sistema de noms de domini (DNS) és un moment que Internet ha oblidat. Però això no fa notícies antigues. Amb l’amenaça canviant de ciberataques, el DNS ha estat en gran mesura al llarg dels anys. En els seus inicis, DNS no va oferir cap forma d’autenticació per verificar la identitat d’un remitent o receptor de consultes DNS.
De fet, des de fa molts anys, els servidors de noms fonamentals o els servidors arrels han estat objecte d’atacs extensos i variats. Aquests dies són geogràficament diversos i són operats per diferents tipus d’institucions, incloses entitats governamentals, entitats comercials i universitats, per mantenir la seva integritat.
Alarmant, alguns atacs han tingut una certa èxit en el passat. Per exemple, es va produir un atac paral·lel a la infraestructura del servidor root, el 2002 (llegiu un informe aquí). Tot i que no va crear un impacte notable per a la majoria dels usuaris d’Internet, va atraure l’atenció del FBI i del Departament de Seguretat Nacional dels Estats Units perquè era altament professional i altament dirigit, afectant nou dels 13 servidors arrels operatius. Si han persistit més d’una hora, segons expliquen els experts, els resultats podrien haver estat catastròfics, fent que els elements de la infraestructura DNS d’Internet siguin inútils.
Derrotar una part tan integral de la infraestructura d’Internet donaria un fort poder a l’atacant amb èxit. Com a resultat, des de llavors s'ha aplicat un temps i una inversió importants en el problema de la seguretat de la infraestructura del servidor root. (Podeu consultar aquí un mapa que mostra els servidors arrels i els seus serveis.)
Protecció del DNS
A part de la infraestructura bàsica, és igualment important tenir en compte la robustesa que pot ser la infraestructura DNS del vostre propi negoci tant contra atac com amb fracàs. És freqüent per exemple (i es diu en alguns RFC) que els servidors de nom hagin de residir en subxarxes o xarxes completament diferents. Dit d’una altra manera, si l’ISP A té una interrupció completa i el servidor de nom principal no està fora de línia, l’ISP B seguirà donant les dades de DNS clau a qualsevol que ho sol·liciti.
Les extensions de seguretat del sistema de noms de domini (DNSSEC) són una de les maneres més populars que les empreses puguin assegurar la seva pròpia infraestructura de servidors de noms. Aquests són un complement per garantir que la màquina que es connecta als servidors de noms és el que diu que és. DNSSEC també permet l’autenticació per identificar d’on provenen les sol·licituds, a més de verificar que les dades en si no s’han canviat de ruta. Tanmateix, a causa de la naturalesa pública del sistema de noms de domini, la criptografia que s'utilitza no garanteix la confidencialitat de les dades ni té cap concepte de la seva disponibilitat en cas que algunes parts de la infraestructura pateixin un fracàs d'alguna descripció.
Per proporcionar aquests mecanismes s'utilitzen diversos registres de configuració, com ara els tipus de registre RRSIG, DNSKEY, DS i NSEC. (Per a més informació, consulteu 12 registres DNS explicats.)
RRISG s'utilitza sempre que DNSSEC estigui disponible tant per a la màquina que envia la consulta com per a la que l'envia. Aquest registre s'envia juntament amb el tipus de registre sol·licitat.
Un DNSKEY que conté informació signada pot semblar:
ripe.net té un registre DNSKEY 257 5 mar AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
El registre DS, o signant delegat, s’utilitza per ajudar a autentificar la cadena de confiança de manera que un progenitor i una zona infantil es puguin comunicar amb un grau addicional de confort.
Les entrades NSEC o, segura, les entrades segures salten essencialment a la següent entrada vàlida d’una llista d’entrades DNS. És un mètode que es pot utilitzar per retornar una entrada DNS inexistent. Això és important, de manera que només es confia que les entrades DNS configurades siguin genuïnes.
El NSEC3, un mecanisme de seguretat millorat per mitigar els atacs a l'estil del diccionari, va ser ratificat al març del 2008 a la RFC 5155.
Recepció DNSSEC
Tot i que molts defensors han invertit en el desplegament de DNSSEC, no és exempta de critics. Tot i la seva capacitat per ajudar a evitar atacs com atacs intermitjos, on es poden segrestar consultes i alimentar-se de manera incorrecte a les que generen consultes DNS, hi ha presumptes problemes de compatibilitat amb determinades parts de la infraestructura d'Internet existent. El problema principal és que el DNS sol utilitzar el protocol de datagrama d'Utagram (UDP) amb menys fam de l'amplada de banda, mentre que DNSSEC utilitza el protocol de control de transmissió (TCP) més pesat per passar les seves dades una i altra vegada per obtenir una major fiabilitat i rendició de comptes. És possible que algunes parts de l’antiga infraestructura DNS, que tinguin problemes de milions de sol·licituds DNS les 24 hores del dia, set dies a la setmana, no puguin augmentar el trànsit. Tot i així, molts creuen que DNSSEC és un pas important per aconseguir la infraestructura d’Internet.
Si bé no es garanteix res a la vida, trigar una estona a considerar els seus propis riscos pot evitar molts mals de cap en el futur. Per exemple, desplegant DNSSEC, podeu augmentar la vostra confiança en algunes parts de la vostra infraestructura DNS clau.
