Zabezpieczanie DNS nie może stać się ofiarą cięć budżetowych

Wykrycie poważnej usterki DNS w połowie roku 2008 było jednym z głośniejszych wydarzeń w sferze bezpieczeństwa w roku ubiegłym, ale w obliczu kryzysu ekonomicznego, który ma również wpływ na IT, wielu analityków obawia się, że przebudowa systemów i bezpieczeństwa serwerów DNS może być w roku 2009 wstrzymana.

Luka wykryta przez Dana Kaminsky'ego z IOActive zmotywowała wielu dostawców do uaktualnienia produktów pod kątem ochrony przedsiębiorstwa przed atakami na DNS typu "zatruty bufor" czy DDoS (Distributed DoS). Szefowie IT byli zachęcani do uaktualniania swoich systemów DNS w celu zabezpieczenia się przed potencjalnymi zagrożeniami, ale według badań przeprowadzonych przez The Meansurement Group, do połowy listopada około 25 proc. serwerów nie zostało jeszcze uaktualnionych. Teraz, kiedy rozpoczął się nowy rok, wielu ekspertów DNS obawia się, że te projekty mogą znaleźć na liście pozycji przesuwanych w związku z cięciem kosztów.

Serwery nazw są podatne na dość banalne ataki - stosując odpowiedni skrypt, napastnik może stosunkowo łatwo zamieścić dowolne dane w buforze serwera nazw. Błąd wykryty przez Kaminsky'ego dotyczy tzw. "transferu stref". Gdy serwer DNS nie ma informacji o adresie IP jakiegoś elementu sieci, próbuje ją uzyskać od innego serwera DNS. Zatrucie bufora pozwalała na podstawienie sfałszowanej informacji przez cyberprzestępców, a serwer DNS może uznać ją za prawidłowe dane.

W oddzielnych badaniach, przeprowadzonych przez DNSstuff we wrześniu ub.r., wykazano, że 9,6 proc. respondentów nie połatało jeszcze swoich serwerów DNS, a 21,9 proc. po prostu nie wie czy ich serwery DNS zostały połatane. Wyniki te pokazują, iż mimo wysiłków społeczności DNS i poszczególnych dostawców, znacząca liczba administratorów nie podjęła jeszcze stosownych działań. Jako powód, oprócz braku stosownych łatek, ponad 45 proc. podaje brak zasobów wewnętrznych, 30 proc. było nieświadomych istnienia luki, a 24 proc. przyznaje, iż nie ma dostatecznej wiedzy o DNS w celu podjęcia odpowiednich kroków. Badanie przeprowadzone przez DNSstuff pokazały również, że główne problemy z DNS na jakie wskazywali respondenci to przestoje poczty elektronicznej (69 proc.), ataki DDoS i ataki "zatrutego bufora" - 50 proc.

W tej sytuacji dostawcy narzędzi zarządzania adresami IP starają się rozwiać mity o DNS i skłonić użytkowników do poświęcenia tej technologii większej uwagi w roku 2009. I tak Infoblox zwraca uwagę na błędne przekonanie, iż DNS jest trywialnym elementem sieci. Spełnia on krytyczne funkcje odwzorowując nazwy domen na adresy IP. Uszkodzenie systemów DNS to brak funkcji internetowych, takich jak poczta elektroniczna, dostęp do stron WWW czy brak dostępu do ekstranetów i ośrodków e-commerce.

Ponadto wiara, że jakaś wersja BIND (Berkeley Internet Name Domain - oprogramowanie wykorzystywane w ok. 80 proc. światowych serwerów DNS) będzie w pełni chronić maszyny obsługujące system nazw w internecie jest fałszywa. BIND w wersji 9 jest istotnym uaktualnieniem i zawiera ulepszenie w sferze zabezpieczeń i protokółów DNS, jak również obsługę IPv6. Jednak organizacje używające wersji 9 nie są w pełni bezpieczne, z powodu wspomnianej na początku luki, a wiele z nich nie podejmuje odpowiednich kroków w celu zapewnienia bezpiecznego transferu stref.

I w końcu przekonanie, że uaktualnienie DNS musi zaczekać do momentu uzyskania odpowiedniego budżetu IT jest również fałszywe. Możliwe jest uaktualnienie serwera DNS narzędziami dostępnymi bezpłatnie (np. Infoblox QuickSecure Solution może być sprowadzone bezpłatnie z witryny Infoblox).

Dostępne są też narzędzia testujące system DNS (doxpara.com, www.dnsadvisor.com). Ponadto organizacje powinny zwracać większą uwagę na konfigurację, która może zmniejszać podatność infrastruktury DNS na ataki.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200