Mục lục:
Vào tháng Tư, một tin tặc người Hà Lan đã bị bắt vì vụ tấn công từ chối dịch vụ phân tán lớn nhất từng thấy. Cuộc tấn công được thực hiện trên Spamhaus, một tổ chức chống thư rác và theo ENISA, cơ quan an ninh CNTT của Liên minh châu Âu, tải trọng trên cơ sở hạ tầng của Spamhaus đạt 300 gigabits mỗi giây, gấp ba lần kỷ lục trước đó. Nó cũng gây ra tắc nghẽn Internet lớn và gây nhiễu cơ sở hạ tầng Internet trên toàn thế giới.
Tất nhiên, các cuộc tấn công DNS hầu như không hiếm. Nhưng trong khi tin tặc trong vụ Spamhaus chỉ có ý làm hại mục tiêu của mình, thì sự phân nhánh lớn hơn của cuộc tấn công cũng chỉ ra điều mà nhiều người đang gọi là lỗ hổng lớn trong cơ sở hạ tầng Internet: Hệ thống tên miền. Do đó, các cuộc tấn công gần đây vào cơ sở hạ tầng DNS cốt lõi đã khiến các kỹ thuật viên và doanh nhân phải tranh giành giải pháp. Vậy còn bạn thì sao? Điều quan trọng là phải biết những tùy chọn nào bạn có để củng cố cơ sở hạ tầng DNS của doanh nghiệp của bạn cũng như cách các máy chủ gốc DNS hoạt động. Vì vậy, hãy xem xét một số vấn đề và những gì doanh nghiệp có thể làm để tự bảo vệ mình. (Tìm hiểu thêm về DNS trong DNS: Một giao thức để cai trị tất cả.)
Cơ sở hạ tầng hiện có
Hệ thống tên miền (DNS) là từ thời Internet đã quên. Nhưng điều đó không làm cho nó trở thành tin tức cũ. Với mối đe dọa luôn thay đổi của các cuộc tấn công mạng, DNS đã bị kiểm tra rất nhiều trong những năm qua. Ở giai đoạn đầu, DNS không cung cấp các hình thức xác thực để xác minh danh tính của người gửi hoặc người nhận truy vấn DNS.
Trong thực tế trong nhiều năm, các máy chủ tên rất cốt lõi, hoặc máy chủ gốc, đã bị tấn công rộng rãi và đa dạng. Ngày nay, chúng rất đa dạng về mặt địa lý và được vận hành bởi các loại tổ chức khác nhau, bao gồm các cơ quan chính phủ, tổ chức thương mại và trường đại học, để duy trì tính toàn vẹn của chúng.
Đáng báo động, một số cuộc tấn công đã phần nào thành công trong quá khứ. Một cuộc tấn công làm tê liệt cơ sở hạ tầng máy chủ gốc, ví dụ, đã xảy ra vào năm 2002 (đọc một báo cáo về nó ở đây). Mặc dù nó không tạo ra tác động đáng chú ý đối với hầu hết người dùng Internet, nhưng nó đã thu hút sự chú ý của FBI và Bộ An ninh Nội địa Hoa Kỳ vì nó rất chuyên nghiệp và được nhắm mục tiêu cao, ảnh hưởng đến chín trong số 13 máy chủ gốc đang hoạt động. Các chuyên gia cho biết, nó đã tồn tại hơn một giờ, các kết quả có thể là thảm khốc, khiến các yếu tố của cơ sở hạ tầng DNS của Internet hoàn toàn vô dụng.
Đánh bại một phần không thể thiếu trong cơ sở hạ tầng của Internet sẽ mang lại cho kẻ tấn công thành công một sức mạnh lớn. Do đó, thời gian và đầu tư đáng kể đã được áp dụng cho vấn đề bảo mật cơ sở hạ tầng máy chủ gốc. (Bạn có thể xem bản đồ hiển thị các máy chủ gốc và dịch vụ của họ tại đây.)
Bảo mật DNS
Ngoài cơ sở hạ tầng cốt lõi, điều quan trọng không kém là xem xét cơ sở hạ tầng DNS của doanh nghiệp của bạn mạnh mẽ như thế nào để chống lại cả tấn công và thất bại. Ví dụ phổ biến (và được nêu trong một số RFC) rằng các máy chủ tên sẽ nằm trên các mạng con hoặc mạng hoàn toàn khác nhau. Nói cách khác, nếu ISP A bị ngừng hoạt động hoàn toàn và máy chủ tên chính của bạn không hoạt động, thì ISP B vẫn sẽ phục vụ dữ liệu DNS chính của bạn cho bất kỳ ai yêu cầu.
Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) là một trong những cách phổ biến nhất mà doanh nghiệp có thể bảo mật cơ sở hạ tầng máy chủ tên riêng của mình. Đây là một tiện ích bổ sung để đảm bảo rằng máy kết nối với máy chủ tên của bạn đúng như tên gọi của nó. DNSSEC cũng cho phép xác thực để xác định các yêu cầu đến từ đâu, cũng như xác minh rằng dữ liệu chưa được thay đổi trên đường. Tuy nhiên, do tính chất công khai của Hệ thống tên miền, mật mã được sử dụng không đảm bảo tính bảo mật của dữ liệu và cũng không có bất kỳ khái niệm nào về tính khả dụng của nó nếu các bộ phận của cơ sở hạ tầng bị lỗi mô tả.
Một số bản ghi cấu hình được sử dụng để cung cấp các cơ chế này bao gồm các loại bản ghi RRSIG, DNSKEY, DS và NSEC. (Để biết thêm thông tin, hãy xem 12 Bản ghi DNS được giải thích.)
RRISG được sử dụng bất cứ khi nào DNSSEC có sẵn cho cả máy gửi truy vấn và máy gửi nó. Bản ghi này được gửi cùng với loại bản ghi được yêu cầu.
Một DNSKEY chứa thông tin đã ký có thể trông như thế này:
ripe.net có một hồ sơ 3 DNSKEY 257 5 AwEAAXf2xwi4s5Q1WHpQVy / + kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / + 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK BIx8u98b + EVr7C08dPpr9V6Eu / 7 + 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Bản ghi DS, hoặc người ký ủy nhiệm, được sử dụng để giúp xác thực chuỗi tin cậy để phụ huynh và khu vực con có thể giao tiếp với mức độ thoải mái hơn.
NSEC, hoặc các mục an toàn tiếp theo, về cơ bản sẽ chuyển sang mục hợp lệ tiếp theo trong danh sách các mục nhập DNS. Đây là một phương pháp có thể được sử dụng để trả về một mục DNS không tồn tại. Điều này rất quan trọng để chỉ các mục DNS được định cấu hình được tin cậy là chính hãng.
NSEC3, một cơ chế bảo mật được cải tiến để giúp giảm thiểu các cuộc tấn công kiểu từ điển, đã được phê chuẩn vào tháng 3 năm 2008 trong RFC 5155.
Tiếp nhận DNSSEC
Mặc dù nhiều người đề xuất đã đầu tư triển khai DNSSEC nhưng không phải không có những chỉ trích. Mặc dù có khả năng giúp tránh các cuộc tấn công như tấn công trung gian, nơi các truy vấn có thể bị tấn công và cung cấp không chính xác theo ý muốn đối với những người tạo truy vấn DNS, có những vấn đề tương thích với một số cơ sở hạ tầng Internet hiện có. Vấn đề chính là DNS thường sử dụng Giao thức gói dữ liệu người dùng (UDP) ít băng thông hơn trong khi DNSSEC sử dụng Giao thức điều khiển truyền (TCP) nặng hơn để truyền dữ liệu qua lại để có độ tin cậy và trách nhiệm cao hơn. Phần lớn cơ sở hạ tầng DNS cũ, bị tiêu tốn hàng triệu yêu cầu DNS 24 giờ một ngày, bảy ngày một tuần, có thể không có khả năng tăng lưu lượng truy cập. Mặc dù vậy, nhiều người tin rằng DNSSEC là một bước quan trọng trong việc bảo vệ cơ sở hạ tầng Internet.
Mặc dù không có gì trong cuộc sống được đảm bảo, nhưng dành một chút thời gian để xem xét rủi ro của chính bạn có thể ngăn ngừa nhiều vấn đề đau đầu tốn kém trong tương lai. Ví dụ, bằng cách triển khai DNSSEC, bạn có thể tăng sự tự tin của mình đối với các phần của cơ sở hạ tầng DNS chính của bạn.
