Inne zagrożenia

Środowisko współdzielone serwera nazw występuje, gdy jeden serwer jest wykorzystywany przez wielu użytkowników i wiele domen. To popularna sytuacja w przypadku dostawców usług hostingowych. Konfiguracja nowych domen przeważnie jest dokonywana przez odpowiednie oprogramowanie, na podstawie informacji podanych przez atakującego. Zakładamy, że atakujący, używając dzielonego serwera DNS, tworzy plik strefy dla domeny idg.com.pl. Dodaje jednocześnie odpowiednie rekordy A i MX. Błędnie napisane skrypty u dostawcy usług nie sprawdzają, czy domena idg.com.pl istnieje.

Obecnie każdy użytkownik, który odpyta dany serwer o domenę idg.com.pl, zostanie skierowany pod adresy IP (być może fałszywe), skonfigurowane przez atakującego. Ponieważ serwerowi DNS wydaje się, że jest autorytatywny dla tej domeny, nie ma potrzeby odpytywania serwerów rootDNS, w poszukiwaniu podstawowego serwera nazw. Przykład takiego ataku przedstawia rys. 3.

Jak przeprowadzić atak Man in the Middle? Jeżeli atakujący potrafi wniknąć pomiędzy klienta oraz serwer DNS, może przechwycić odpowiedzi na zapytania klienta o odwzorowanie. Następnie może przesłać fałszywą informację do klienta, odwzorowując adres domeny na niepoprawny adres IP. Ten typ ataku wymaga, aby atakujący przesłał odpowiedź na zapytanie klienta przed odpowiedzią prawidłowego serwera.

Poszczególne fazy ataku można przedstawić w następujących podpunktach:

1. Atakujący jest umieszczony pomiędzy klientem a serwerem nazw.

2. Klient tworzy zapytanie do serwera ns.mnk.pl w celu odwzorowania domeny idg.com.pl.

3. Zapytanie jest przechwytywane przez atakującego, który odpowiada fałszywą informacją.

4. Serwer obsługujący domenę idg.com.pl odpowiada poprawną informacją.

W tym wyścigu wygra pierwsza odpowiedź, którą otrzyma klient.

Serwery DNS tak jak inne zasoby internetowe narażone są także na ataki odmowy usługi (DoS). Duża liczba połączeń uniemożliwia obsługę kolejnych zapytań. Ponieważ DNS używa zapytań UDP, podszywane ataki zaprzeczenia usługi są niemożliwe do wyśledzenia i zablokowania. W przypadku ataku DDoS (Distributed Denial of Service) serwery potrafią otrzymać nawet milion pakietów na sekundę. Skuteczna obrona jest praktycznie niemożliwa.

Jak uczynić usługę bezpieczną?

Podatność usług DNS na wiele zagrożeń stwarza konieczność rozwoju metod zabezpieczeń. Obecnie dostępne są dwa modele zapytań przesyłanych do serwerów nazw - rekurencyjne i iteracyjne. Model rekurencyjny powoduje, że serwer nazw przesyła każde zapytanie klienta do autorytatywnych serwerów, jeżeli nie posiada odpowiedzi w lokalnych buforach. Uzyskana odpowiedź jest zapamiętywana w buforze i przekazywana do klienta. Model iteracyjny również opiera się na zasadzie sprawdzenia domeny w lokalnych zasobach. Jednak w przypadku braku określonych danych o domenie, klientowi przekazywany jest adres IP serwera nazw, który potrafi obsłużyć zapytanie. Z punktu widzenia bezpieczeństwa lepszym rozwiązaniem jest korzystanie z modelu iteracyjnego. Podobnie jednak jak wyłączenie lokalnego bufora dla uzyskiwanych odpowiedzi, model iteracyjny powoduje spowolnienie wydajności systemu DNS.

Warto także zastosować kilka podstawowych zasad bezpieczeństwa serwera nazw:

• Ograniczenie możliwości transferu strefy.

• Stosowanie bezpiecznego oprogramowania i bezpiecznego systemu operacyjnego.

• Ograniczenie możliwości zdobycia wersji oprogramowania.

Nadzieją na polu bezpieczeństwa DNS jest protokół DNSSEC (DNS Security). DNSSEC jest oparty na podpisie cyfrowym i dodaje wiele nowych rekordów DNS. Umożliwia w płynny sposób przejście do pewnych zabezpieczeń, bez znacznych modyfikacji systemu odwzorowania nazw. DNSSEC

zapewnia autoryzację serwerów DNS poprzez mechanizmy kryptograficzne. Ulepszony system z pewnością zmniejszyłby skalę zjawisk typu phising-pharming, gdyby nie pesymistyczne nastawienie środowiska zarządzającego DNS. Zbyt mała skala prezentowanych zjawisk czy brak spektakularnych ataków na serwery nazw odwlekają w czasie wprowadzenie zaawansowanych mechanizmów bezpieczeństwa.