BIZIT 11 - prvi dan

DNS i bezbednosni izazovi

DNS, servis koji transformiše imena razumljiva ljudima u adrese razumljive mašinama, zaslužan je za lakoću s kojom danas koristimo Internet servise, ali i „kriv“ za mnoge napade koji ugrožavaju funkcionisanje globalne Mreže. Kako konfigurisati DNS da bi naš sajt bio bezbedan?

PCPress.rs Image
DNS upi­ti se ra­zre­ša­va­ju u ne­ko­li­ko ko­ra­ka – od hi­je­rar­hij­ski vi­ših ni­voa ka ni­žim

Svi korisnici Interneta koriste DNS (Domain Name System) da bi se povezali sa odgovarajućim internet servisom. Sistem naziva domena (DNS) distribuirana je baza podataka o nazivima računara i servisa na Internetu. Uloga DNS‑a je da korisnicima omogući povezivanje računara na Internetu, a da pri tome oni koriste slovne izraze koji se lako pamte. DNS sistem mora da bude uvek dostupan, pouzdan, brz, fleksibilan i proširiv. On, kao i mnogi drugi distribuirani računarski sistemi, ima svoje bezbednosne slabosti. Specifičnost DNS sistema, njegova globalna uloga i namena da pruža uslugu svim korisnicima Interneta, uticala je da se prilikom njegovog razvoja ne obrati dovoljna pažnja na njegovu bezbednost. Povećanje broja korisnika, naročito onih zlonamernih, poslednjih godina dovelo je u fokus bezbednost DNS‑a.

Struktura DNS‑a sastoji se od velikog broja globalno raspoređenih računarskih i komunikacionih uređaja. Na samom vrhu DNS strukture nalaze se root serveri koji sadrže podatke o domenima najvišeg nivoa (TLD), kao što su: .rs, .ca, .se, .com, .net itd. Za svaku TLD zonu postoji DNS struktura koja sadrži podatke o domenima drugog nivoa (.co.rs, rnids.rs, cisco.com…). Analogno, za svaku zonu drugog nivoa postoji struktura sa odgovarajućim DNS podacima za tu zonu.

DoS i DDoS napadi

Najčešći tipovi napada na DNS servis su: DoS i DDoS napadi, upotreba DNS servera za amplificirani DDoS napad na druge internet servise, presretanje i izmena DNS paketa (man in the middle), „Trovanje keša“ (cache poisoning) i izmena DNS zapisa i zonskog fajla. Iako je Internet globalna mreža na koju su povezane milijarde različitih uređaja i koja omogućava brzu razmenu podataka, resursi Interneta su ipak ograničeni. Internet linkovi, kapaciteti mrežnih uređaja, računarski procesori i uređaji za skladištenje podataka imaju svoje limite koji mogu biti iskorišćeni kao meta napada.

PCPress.rs Image
Sce­na­rio DDOS na­pada

Veoma česta vrsta napada su incidenti u kojima su delovi sistema lišeni odgovarajućih resursa koji su potrebni za njihov normalan rad. DoS napad je zlonamerni pokušaj jedne osobe ili organizovane grupe ljudi da prouzrokuje onesposobi sistem žrtve i na taj način uskrati uslugu klijentima.

 Koristeći ranjivost standardnih internet protokola, zlonamerni hakeri mogu da pokrenu napad uskraćivanja servisa, Denial of Service (DoS) napadi, čiji je cilj da onemoguće sistem da pruža usluge korisnicima. Iako DoS napadi sami po sebi najčešće ne dovode do krađe ili gubitka značajnih podataka korisnika, oni ipak žrtvu napada mogu koštati značajnog vremena i novca.

Najčešće mete ovakvih napada su Web serveri banaka, medijskih kuća, vladinih institucija ili internet trgovina, ali su takođe česti i napadi na DNS infrastrukturu i servise elektronske pošte. DoS napadi se izvršavaju tako što napadač šalje veliku količinu podataka ka žrtvi napada, ili slanjem informacija koje mogu prouzrokovati pad sistema. U oba slučaja, napadač sprečava legitimne korisnike sistema da koriste servise ili resurse koje očekuju.

Kada ovakav pokušaj potiče sa jedne lokacije, on predstavlja DoS napad. Za Distributed Denial of Service (DDoS) napad karakteristično je da višestruki sistemi, sa različitih lokacija, sinhronizovano vrše DoS napad na jedinstvenu metu napada. Suštinska razlika je u tome da je, umesto napada sa jedne lokacije (DoS), sistem žrtve napadnut sa mnogo lokacija odjednom.

Distribucija sistema sa kojih se napad izvršava daje napadaču mnogo prednosti. Pre sveg,a njemu su na raspolaganju  značajni resursi, a napadnutom je gotovo nemoguće da detektuje lokaciju odakle napad zaista dolazi, pošto su sistemi s kojih stižu zahtevi razbacani širom sveta. Pravi napadač je najčešće dobro sakriven iza mnogo kompromitovanih sistema.

Savremeni sistemi imaju mehanizme za zaštitu od većine DoS napada, ali zbog specifičnosti DDoS napada on se i dalje smatra ozbiljnom pretnjom. Ukoliko je DDoS napad izveden sa dovoljnom količinom resursa nije ga moguće uspešno zaustaviti.

Borba protiv DDoS‑a

Postoje tri osnovna nivoa zaštite od distribuiranih DoS napada: nivo korisnika, nivo transmisije i nivo sistema.

  • Na nivou korisnika treba raditi na edukaciji i podizanju svesti o potencijalnim opasnostima od DDoS napada, ne samo po sisteme samih korisnika, već i o mogućnostima da nezaštićeni sistemi mogu biti iskorišćeni za napad na neke druge sisteme povezane na Internet.
  • Implementacija filtera koji sprečavaju prenos paketa podataka sa lažnom IP adresom (Network Ingress Filtering, RFC 2827) omogućila bi detekciju izvora napada i efikasniju zaštitu daleko od sistema žrtve. Takođe, dobra saradnja sa internet provajderima i njihovim nad‑provajderima na filtriranju neželjenog saobraćaja obezbedila bi nesmetan rad sistema žrtve. Kada su u pitanju napadi koji za cilj imaju zagušenje komunikacionih linkova, ograničavanje saobraćaja i filtriranje paketa daleko od sistema žrtve je i jedini efikasan način za umanjenje ili eliminisanje efekata DoS/DDoS napada.
  • Konačno, na nivou samog sistema potrebno je obezbediti dovoljno resursa za ključne servise koje sistem pruža korisnicima, uz izvesnu rezervu. Treba implementirati efikasne sisteme za filtriranje i ograničavanje neželjenog saobraćaja koji predstavlja opasnost za nesmetan rad sistema.

Cache poisoning napadi

U najvećem broju slučajeva korisnici umreženih računara koriste DNS servis svoje kompanije ili internet provajdera. Lokalni DNS serveri imaju prevashodni zadatak da poboljšaju i ubrzaju proces razrešenja DNS upita (uparivanje naziva internet servisa sa odgovarajućom IP adresom računara koji pruža traženi servis) kroz „pamćenje“ ranije dobijenih odgovora na DNS upite (caching). Posledice po korisnika, u slučaju da DNS servis bude nedostupan ili mu se prosledi pogrešna informacija o IP adresi traženog internet servisa, su veoma ozbiljne.

PCPress.rs Image
Sce­na­rio Man in The Mi­dle (MTM) na­pada

Odavno je poznata ranjivost DNS sistema vezana za izmenu ranije zapamćenih odgovora na DNS upite. Ovakva vrsta zlonamernog delovanja je poznata kao „trovanje keša“ (cache poisoning). Ova tehnika može biti korišćena za preusmeravanje korisnika na internet servise koje kontroliše napadač, a da sam korisnik nije svestan da usluga ili sadržaj nisu autentični.

Suština ove vrste napada je u tome da napadač svojom aktivnošću izmeni zapamćen („keširan“) sadržaj na kešing DNS serveru. Uspešno izveden cache poisoning napad na jedan DNS server može imati negativan uticaj, ne samo na direktne korisnike servisa, već i na hijerarhijski niže DNS servere koji koriste napadnuti DNS server za razrešavanje DNS upita.

Napadač šalje veliki broj upita za odabrani domen u pravcu DNS servera koji je napadnut i istovremeno šalje lažne odgovore, predstavljajući se kao autoritativni DNS server za taj domen. Ukoliko odgovor od napadača stigne pre odgovora autoritativnog servera, DNS server će „zapamtiti“ taj pogrešan odgovor i u periodu važenja (TTL – time to live parametar) zapamćenog DNS zapisa, prosleđivati ga korisnicima kao validan.

Uspešno upisivanje lažnih DNS podatke u memoriju kešing servera otvara niz različitih mogućnosti za zloupotrebu. Preusmeravanje saobraćaja na web strane koje kontroliše napadač i koje izgledaju potpuno isto kao original ili preusmeravanje e‑mail poruka ka serveru napadača. Posebno je opasna mogućnost preusmeravanja internet saobraćaja, tzv. Man in The Midle (MTM) napad, gde napadač presreće kompletnu komunikaciju napadnutog domena i ima pristup i mogućnost da menja sadržaj poruka koje dve strane razmenjuju.

U ovom trenutku najviši nivo zaštite DNS servisa od ovakve vrste napada predstavlja DNSSEC (sigurnosna ekstenzija za kriptovanu proveru autentičnosti DNS odgovora). Za DNSSEC zaštitu važno je da DNS zona bude adekvatno potpisana, ali i da lokalni DNS resolver‑i (najčešće DNS serveri internet provajdera) budu konfigurisani tako da verifikuju DNSSEC zapise. Kada DNS resolver kod koga je omogućena DNSSEC verifikacija pošalje upit hijerarhijski višem DNS serveru za određeni domen, u odgovoru će dobiti informaciju da li je taj domen digitalno potpisan. Ukoliko jeste, resolver će od autoritativnog servera prihvatati samo digitalno potpisane odgovore, a svaki drugi će biti odbačen.

Ovakvo povećanje bezbednosti DNS sistema važno je ne samo krajnjim korisnicima već i pružaocima usluga, naročito onim koji se bave finansijskim transakcijama na Internetu, kao što su banke, osiguravajuća društva, internet prodavnice… Digitalno potpisivanje domena znatno smanjuje mogućnost da korisnici budu preusmereni ka lažnim internet sadržajima i samim tim povećava njihovo poverenje i omogućava rast i razvoj internet poslovanja.

Tekst je realizovan u saradnji s Registrom nacionalnog internet domena Srbije (RNIDS)

Žarko Kecić

(Objavljeno u PC#250)

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,