תוכן עניינים:
באפריל נעצר האקר הולנדי בגין מה שמכונה פיגוע ההכחשה לשירות הגדול ביותר שנראה אי פעם. הפיגוע בוצע על ידי ספאמהאוס, ארגון נגד דואר זבל, ולדברי ENISA, סוכנות אבטחת ה- IT של האיחוד האירופי, העומס על התשתיות של ספאמהאוס הגיע ל -300 ג'יגה לשנייה, פי שלושה מהשיא הקודם. זה גם גרם לעומס אינטרנטי גדול, ופגע בתשתיות אינטרנט ברחבי העולם.
כמובן, התקפות DNS אינן נדירות כמעט. אך בעוד שההאקר בפרשת ספאמהאוס רק התכוון לפגוע ביעד שלו, ההשלכות הגדולות יותר של הפיגוע הצביעו גם על מה שרבים מכנים ליקוי גדול בתשתית האינטרנט: מערכת שמות הדומיינים. כתוצאה מכך, התקפות שנערכו לאחרונה על תשתיות DNS ליבותיות הותירו טכנאים ואנשי עסקים כאחד אחר פתרונות. אז מה איתך? חשוב לדעת מהן האפשרויות העומדות בפניך לחיזוק תשתית ה- DNS של העסק שלך וכן כיצד פועלים שרתי השורש של DNS. אז בואו נסתכל על כמה מהבעיות, ומה עסקים יכולים לעשות כדי להגן על עצמם. (למידע נוסף על DNS ב- DNS: פרוטוקול אחד לשלוט בכולם.)
תשתית קיימת
מערכת שמות הדומיינים (DNS) היא מהתקופה שהאינטרנט שכח. אבל זה לא הופך את החדשות הישנות. עם האיום המשתנה ללא הרף של התקפות רשת, DNS עבר בדיקה רבה במהלך השנים. בינקותה, DNS לא הציעה צורות אימות לאימות זהות השולח או המקבל של שאילתות DNS.
למעשה במשך שנים רבות שרתי שמות הליבה, או שרתי השורש, היו נתונים להתקפות נרחבות ומגוונות. בימינו הם מגוונים מבחינה גאוגרפית ומופעלים על ידי סוגים שונים של מוסדות, כולל גופים ממשלתיים, גופים מסחריים ואוניברסיטאות, כדי לשמור על שלמותם.
באופן מבהיל, כמה מתקפות היו מעט מוצלחות בעבר. התקפה נכה על תשתית שרתי השורש, למשל, אירעה בשנת 2002 (קרא דוח על כך כאן). למרות שזה לא יצר השפעה בולטת עבור מרבית משתמשי האינטרנט, הוא אכן משך את תשומת לבם של ה- FBI והמשרד לביטחון פנים בארה"ב מכיוון שהוא היה מקצועי מאוד וממוקד מאוד, והשפיע על תשעה מתוך 13 שרתי השורש ההפעלה. אם זה נמשך יותר משעה, אומרים מומחים, התוצאות היו יכולות להיות קטסטרופליות, מה שהופך אלמנטים מתשתית ה- DNS של האינטרנט לכולם חסרי תועלת.
להביס חלק בלתי נפרד כזה מתשתית האינטרנט היה מקנה לתוקף מצליח כוח רב. כתוצאה מכך, זמן והשקעה משמעותיים מיושמים מאז בנושא אבטחת תשתית שרתי השורש. (תוכלו לבדוק מפה המציגה שרתי שורש ושירותיהם כאן.)
אבטחת DNS
מלבד תשתית הליבה, חשוב לא פחות לקחת בחשבון עד כמה תשתית ה- DNS של העסק שלך יכולה להיות חזקה כנגד תקיפה וכישלון. מקובל למשל (ומוצהר בכמה RFCs) כי שרתי שמות צריכים להתגורר בתתי רשת או רשתות שונות לחלוטין. במילים אחרות, אם ל- ISP A יש הפסקות מלא ושרת השמות הראשי שלך נופל במצב לא מקוון, ISP B עדיין ישמש את נתוני ה- DNS המפתחיים שלך לכל מי שמבקש זאת.
תוספי אבטחת מערכת של דומיינים (DNSSEC) הם אחת הדרכים הפופולריות ביותר בהן עסקים יכולים לאבטח תשתית שרת שם משלהם. אלה תוספות כדי להבטיח שהמכונה המחברת לשרתי השמות שלך היא מה שהיא אומרת שהיא. DNSSEC מאפשר גם אימות לזיהוי מאיפה הבקשות מגיעות, כמו גם לאמת שהנתונים עצמם לא השתנו בדרך. עם זאת, בגלל האופי הציבורי של מערכת שמות הדומיינים, הקריפטוגרפיה המשמשת אינה מבטיחה סודיות של הנתונים, ואין לה שום מושג של זמינותם אם חלקים מהתשתית סובלים מכישלון של תיאור כלשהו.
מספר רשומות תצורה משמשות כדי לספק מנגנונים אלה כולל סוגי רשומות RRSIG, DNSKEY, DS ו- NSEC. (למידע נוסף, בדקו 12 רשומות DNS שהוסברו.)
RRISG משמש בכל פעם ש DNSSEC זמין הן למחשב המגיש את השאילתה והן לזה ששולח אותה. רשומה זו נשלחת ביד עם סוג הרשומה המבוקש.
DNSKEY המכיל מידע חתום עשוי להיראות כך:
ripe.net יש רקורד DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
הרשומה של ה- DS, או החותם המורשה, משמשת כסיוע לאימות שרשרת האמון כך שהורה ואזור ילדים יוכלו לתקשר עם תוספת של נוחות.
רשומות NSEC, או המאובטחות הבאה, למעשה קופצות לערך התקף הבא ברשימת רשומות DNS. זוהי שיטה שניתן להשתמש בה כדי להחזיר ערך DNS שאינו קיים. זה חשוב כך שרק רשומות DNS שהוגדרו אמינות כאמינות.
NSEC3, מנגנון אבטחה משופר המסייע בהפחתת התקפות בסגנון מילון, אושרר במרץ 2008 ב- RFC 5155.
קבלת פנים של DNSSEC
למרות שחסידי רבים השקיעו בפריסת DNSSEC, זה לא בלי מבקריו. למרות יכולתו לסייע במניעת התקפות כמו התקפות אדם באמצע, בהן ניתן לחטוף שאילתות ולהאכיל בצורה לא נכונה כרצונם ללא ידיעה לאלה המייצרים שאילתות DNS, ישנם בעיות תאימות לכאורה עם חלקים מסוימים בתשתית האינטרנט הקיימת. הבעיה העיקרית היא ש- DNS בדרך כלל משתמש בפרוטוקול User Datagram פחות רעב ברוחב הפס (UDP) ואילו DNSSEC משתמש בפרוטוקול ההעברה הכבד יותר (TCP) בכדי להעביר את הנתונים שלו קדימה ואחורה על מנת לספק אמינות גבוהה יותר ואחריות. ייתכן שחלקים גדולים מתשתית ה- DNS הישנה, המפוצצים במיליוני בקשות DNS 24 שעות ביממה, שבעה ימים בשבוע, אינם מסוגלים לעלות בתנועה. אף על פי כן, רבים מאמינים ש- DNSSEC הוא צעד חשוב בדרך לאבטחת תשתיות אינטרנט.
אמנם שום דבר בחיים אינו מובטח, אך לוקח זמן לשקול את הסיכונים שלך עשוי למנוע כאבי ראש רבים ויקרים בעתיד. על ידי פריסת DNSSEC, למשל, אתה יכול להגדיל את הביטחון שלך בחלקים מתשתית ה- DNS המפתח שלך.
