DNS - ochrona krytycznych zasobów

Kolejną grupą ataków jest zatruwanie pamięci podręcznej serwera DNS (DNS Cache Poisoning) - w tym wypadku serwer DNS otrzymuje fałszywą informację o pewnych zasobach. Jak to działa? Aby uzyskać informacje niezbędne do rozwiązania jakiejś nazwy domenowej, serwery DNS wysyłają zapytania do innych DNS. W celu zwiększenia wydajności systemu, DNS zapamiętują w podręcznej pamięci wynik odpowiedzi na zapytanie. Odpowiedź jest przechowywana przez ściśle zdefiniowany czas, wskazywany przez obsługujący daną domenę serwer nazw. Jeżeli pojawi się kolejne zapytanie o tę samą nazwę, a czas przechowywania wyniku nie upłynął, serwer DNS odpowie informacją, którą zapamiętał w pamięci podręcznej, zamiast odpytywać ponownie serwer nazw obsługujący daną domenę. W większości przypadków serwer DNS, który zwraca fałszywą informację został skompromitowany. Atak może się udać, ponieważ serwery DNS nie sprawdzają prawidłowości odpowiedzi oraz nie weryfikują, czy odpowiedź przychodząca z innego serwera DNS została zmodyfikowana. Po prostu klient serwera DNS po otrzyma odpowiedź zawierającą informację i zapamięta tę wiadomość. Następnie może rozpowszechnić ją pośród swoich klientów DNS. Atakujący może wykorzystać tego typu atak np. do przekierowania odwiedzających stronę banku na spreparowaną stronę. Ten typ ataku bywa trudny do wykrycia przez użytkownika, ponieważ najczęściej strona jest do złudzenia podobna do tej, której oczekuje użytkownik. Jeden skompromitowany serwer nazw u dostawcy usług może zagrażać tysiącom użytkowników.

Powyższe ataki mogą przybierać różną formę i w każdej grupie da się wydzielić podgrupy, które wciąż będą różniły się szczegółami. Sposoby zapobiegania tego typu atakom są jednak w miarę jednolite.

Wyzwania w ochronie serwerów DNS

DNS jest podatna na wiele rozmaitych form ataków. Istnieją jednak sposoby na zapewnienie ochrony przed większością. W odniesieniu do różnych typów ataków konieczne będzie zastosowanie różnych środków zapobiegawczych, a czasami łączenie ich w grupy.

Wspomniane już, bardzo często spotykane ataki DoS na usługi DNS mogą być zabezpieczane poprzez mechanizmy wzmacniania systemu, ale także rozproszeniu zasobów. Wzmacnianie systemu (hardening) oraz infrastruktury sieciowej polega na zabezpieczeniu odpowiednich zasobów sprzętowych na wypadek ataku. Zazwyczaj warto być przygotowanym nawet na 10- czy 100-krotne zwiększenie liczby zapytań w stosunku do typowej pracy. Wzmacnianie może polegać także na bezpiecznej konfiguracji systemu operacyjnego i aplikacji, filtrowaniu błędnego lub podejrzanego ruchu DNS, a także wdrożeniu monitorowania w czasie rzeczywistym, współpracującego z systemem IDS (Intrusion Detection System)/IPS (Intrusion Prevention System). Warto pamiętać, że podstawą bezpiecznej pracy serwera nazw jest bieżące aktualizowanie oprogramowania na serwerach pełniących rolę DNS.

DNS - ochrona krytycznych zasobów

Zasada działania mechanizmu IP Anycast - klient wybiera najbliższy serwer DNS

Innym sposobem na ataki DoS jest rozproszenie zasobów pomiędzy kilkoma fizycznymi lokalizacjami. Ta strategia może odnieść sukces, jeżeli poszczególne elementy rozproszonej infrastruktury są niezależne względem siebie. Przeciwstawienie się atakom DoS na usługi DNS składa się więc z połączenia kilku mechanizmów - zabezpieczenia zasobów, rozproszenia geograficznego usług i infrastruktury oraz wykorzystania mechanizmu Anycast. Ten ostatni pozwala rozkładać obciążenie zapytań DNS na rozproszoną sieć. Zapytania trafiają jednak do serwerów, które są najbliżej względem źródła zapytań, biorąc pod uwagę topologię sieci. W przypadku ataku DoS pozwala to chronić część zasobów. Dobrym rozwiązaniem walki z atakami DOS jest wykorzystanie różnych implementacji oprogramowania serwera DNS dla tych samym zasobów. Nawet jeżeli w jednej z nich zostanie wykryta dziura, infrastruktura będzie działała nadal poprawnie.

Ataki DoS na serwery nazw to obecnie jedna z popularniejszych form zakłócenia pracy infrastruktury DNS. Siatkę hostów potrafiących generować tego typu atak można wynająć za stosunkowo niewielki pieniądze. Równie groźnymi atakami są jednak te związane z naruszeniem danych DNS. Najskuteczniejszą bronią w zwalczaniu opisanych wcześniej ataków związanych z naruszeniem protokołu komunikacji DNS - dotyczących przewidywania zapytań, man-in-the-middle, czy zatruwania buforów (cache poisoning) - jest DNSSEC. To bezpieczne rozszerzenie DNS daje on na pewność, że opublikowane dane DNS nie zostały naruszone. Jeżeli dane nie zostały zabezpieczone DNSSEC, musimy wykorzystać inne techniki - zwiększenie poziomu monitorowania serwerów oraz klientów DNS i dbać o pełne aktualizacje zabezpieczeń.


TOP 200