DNS - ochrona krytycznych zasobów
- Kamil Folga,
- 12.11.2012
Częstym przypadkiem są także ataki związane z wyciekiem informacji. W takich przypadkach najrozsądniejszym rozwiązaniem będzie maksymalne zabezpieczenie ścieżki wiadomości DNS, ograniczenie transferów strefy do zaufanych odbiorców, a także wdrożenie mechanizmu NSEC3 w DNSSEC.
Dobrą obroną przed każdą formą ataków na DNS będzie wprowadzenie ograniczeń na liczbę pakietów oraz źródłowych adresów dla każdego systemu DNS. Warto monitorować ruch DNS, który ma inną charakterystykę niż standardowe zachowanie protokołów. Doskonałe rozwiązanie ochrony infrastruktury DNS mogą stanowić zabezpieczenia oparte na mechanizmach zapór ogniowych oraz systemów IDS/IPS. Zazwyczaj metody zabezpieczania się przed atakami na DNS realizowane są w trzech fazach: detekcji, stworzeniu sygnatury (jeżeli nie istnieje dla danego typu ataku) oraz wykorzystania sygnatury do likwidacji ataku. W fazie detekcji monitorowany jest cały ruch przychodzący i wychodzący DNS na porcie UDP 53. Na tym etapie systemy uczą się tradycyjnych zachowań sieci. Przy użyciu znanych sygnatur oraz nowych (stworzonych przez analizę aktualnych zagrożeń) jest realizowane monitorowanie sieci pod kątem ataków. Jeżeli atak zostanie wykryty, następuje przejście do fazy likwidacji zagrożenia.
DNSSEC
Ochrona serwerów DNS przed atakami DDoS
Stosowane rozwiązania
Nowoczesna architektura infrastruktury DNS ewoluowała na przestrzeni lat. Najczęściej jednak mamy do czynienia z farmą serwerów DNS, w których działa mechanizm dystrybucji obciążenia. Odpowiednio skonfigurowana redundancja pozwala znosić nawet duże i rozproszone ataki DDoS na usługi DNS. Ochrona klientów DNS jest realizowana przez dostawców usług coraz częściej z wykorzystaniem transparentnej usług DNS Proxy. Wykorzystujący ją operator nasłuchuje wszystkich zapytań DNS, które przetwarzane są przeźroczyście dla użytkownika w ramach serwera proxy. Pozwala to efektywnie forsować wykorzystanie własnych usług DNS operatora dla wszystkich zapytań. Chroni to potencjalnie przed wieloma atakami, które mogą powodować skompromitowane stacje klienckie. Co więcej istnieje możliwość przeprowadzenia dość precyzyjnego filtrowania treści przy użyciu takich mechanizmów. Przykładem i wzorem dla podobnych rozwiązań mogą być dostępne otwarte usługi DNS, takie jak Google, Comodo czy OpenDNS. Wykorzystanie mechanizmów DNS do realizacji usług bezpieczeństwa nie jest jednak nowością. Od dawna na usługach serwerów nazw są filtry antyspamowe.