DNSSEC или как защитить DNS сервер от атак
Автоматизация процессов ведения бизнеса становиться более практичной вместе с пакетом программного обеспечения 1с (см. www.expertsoft.com.ua) бухгалтерии.
————————————————————
Зачем обычному пользователю интернета вникать в то, как он переходит на страницы сайтов? Что происходит в момент нажатия на Enter, когда набран текст в адресной строке?
А я отвечу, затем, что когда Вы заходите на Vkontakte.ru и видите большую жо*) на весь экран — это не должно Вас пугать потому, что причина не в кривизне рук, а во взломе DNS и только-], с этого момента проблемы индейцев становятся проблемами шерифа (интерпретация моей любимой поговорки-).
По своей сути DNS является распределенной системой и необходима для получения информации о доменах. В привычном случае используется для преобразования доменного имени в IP-адрес хоста при вводе адреса в соответствующую строку в браузере, результат — на экране запрашиваемый Вами сайт. На сегодня реализовать DNS-сервер не является проблемой, для этого существует множество решений, таких как: BIND, Microsoft DNS Server, Open DNS и многие другие. Но все они не имеют достойного уровня защиты, что увеличивает шансы хакера, и что плохо сказывается на доверие посетителей, которые могут в результате взлома отказаться от привычного сервиса.
В чем опасность взлома DNS сервера? Рассмотрим:
- После атаки на сервер пользователь может попасть на ложную или подставную, в крайнем случае, совершенно другую страницу (т.е. атакованный DNS будет перенаправлять запрос пользователя на необходимые злоумышленнику страницы).
- Также, после перехода пользователя на ложный IP–адрес, может возникнуть вероятность компрометации личной информации (естественно без ведома ее хозяина).
Какие виды атак применяют при взломе DNS-серверов (DNS работает по UDP протоколу, который является уязвимее TCP)? В двух словах:
- Создание ложного DNS-сервера в результате перехвата запроса. Таким образом злоумышленник становится посредником между сервером и пользователем, отвечая на запросы без подозрения с чьей либо стороны, при этом перехватывая все пакеты.
- Так называемая удаленная атака, в случае если нет возможности доступа к трафику пользователя. Результат — пользователь воспринимает не настоящий DNS–сервер как истинный и начинает плотно с ним работать, при этом хакер имеет возможность подставить в DNS ответе любой IP-адрес нужного ему ресурса.
- Взлом конкретно DNS–сервера. Это за собой повлечет массовые переходы по ложным IP-адресам.
Ну и напоследок, все же как уберечь DNS-сервер от атак?
Для решения этой проблемы и существует Domain Name System Security Extensions (DNSSEC), в основе которого находится метод цифровой подписи ответов на запросы. На практике это выглядит так, у админа доменной зоны, которая поддерживает данный протокол, будет находится закрытый ключ, генерирующий с помощью крипто-алгоритмов цифровую подпись (ЦП). Пользователь получает на руки открытый ключ, в соответствии закрытому, с помощью которого можно поверить подлинность ЦП. Таким образом получается, что проверить валидность подписи можно, а сгенерировать ее — нет. Что усложняет задачу взломщика, поскольку 100% гарантии никто не дает, но для того чтоб пробить этот протокол, нужен компьютер с огромной вычислительной способностью. Получается, что в теории взломать DNS будет можно, но не достижимо с точки зрения аппаратных средств, пока :].
Применяется в действии DNSSEC уже в Швейцарии и Болгарии. Планируется внедрение в остальные зоны, а также .ru, .su и .рф. Предположительная дата — конец 2011 г. С января 2010 г. протокол был развернут на 13 корневых серверах в тестовом режиме. Самой главной проблемой является финансовая сторона, поскольку необходима кардинальная замена программного и аппаратного обеспечения как на серверах, так и на клиентской стороне. Приблизительная сумма внедрения DNSSEC в России около 100 млн $, для Украины я предполагаю меньше, но у нас про DNSSEC ходят только слухи. Про DNSSEC также можно почитать в моей предыдущей статье о новой системе доменных имен.
Твитнуть
