DNSSEC зачем и почему
Краткое описание работы DNS, какие атаки могут быть произведены с помощью этой службы. Почему важно внедрять DNSSEC и почему важно обновлять DNS сервера.

Система доменных имен (DNS) это основа нашего доверия и один из наиболее критичных компонентов в Интернет. Это определяющий сервис, потому как в случае его отказа бизнес в интернет также уйдет в отказ.

DNS – это виртуальная база данных имен и чисел. Она служит опорой для других сервисов, которые важны для организаций. Они включают электронную почту, доступ к интернет-сайтам, голосовую связь (VoIP), и управление файлами.

Когда вы печатаете доменное имя, вы рассчитываете попасть именно туда, куда нужно. Уязвимые места DNS редко дают о себе знать, пока не возникнет какая-нибудь атака и не наделает много шума.  Например, в апреле 2018 года, публичные DNS-сервера, которые управляли доменом Myetherwallet были взломаны, и его клиенты перенаправлялись на фишинговый сайт. Многие пользователи сообщали о потере средств со счетов, и это привлекло к себе немало общественного внимания к слабым сторонам сервиса DNS.

Сам факт того, что сервис DNS работает достаточно долго, говорит о проблемах с его безопасностью. По своей задумке, это открытый сервис в сети, который не контролируется должным образом, и для которого традиционные решения безопасности не могут обеспечить эффективную защиту.

Что такое «отравление кэша DNS»?
DNS-серверы имеют уязвимые места, которые постоянно атакуют хакеры в попытках вывода серверов из строя. Атаки по отравлению кэша DNS являются одними из самых распространенных методов, которыми пользуются хакеры.

Когда хакер получает контроль над DNS-сервером, он может изменять информацию кэша, это и есть отравление DNS. Код отравления кэша DNS чаще всего помещают в ссылку, рассылаемую как спам или же в фишинговые электронные письма. Такие письма обычно уведомляют пользователей о каких-то событиях и требуют немедленного внимания в виде клика на прилагаемую ссылку. Ссылка, в свою очередь, заражает компьютер пользователя. Также, для перенаправления пользователей на эти зараженные сайты используется баннерная реклама или изображения.

После этого, хакер может контролировать ваши дальнейшие переходы, в том числе и ваши переходы на сайты по управлению финансами или какие-либо другие, перенаправляя вас на сайты-фальшивки. Хакер может направить вас на страницу, запускающую скрипт, который может загружать на ваше устройство вредоносные программы, перехватчики данных ввода или программу-червь.

DNS-серверы имеют доступ к кешам других DNS-серверов, и вот так это все и распространяется — потенциал такого распространения имеет немалые масштабы.

Риски, сопряженные с отравлением кэша DNS
Первостепенный риск отравления кэша DNS – это кража данных. Сайты больниц и финансовых учреждений, как и онлайн-магазины, стали популярными мишенями, которые легко фальсифицировать, это значит, что захватить можно любой пароль, номер кредитной карты или другую персональную информацию. К тому же, риск установки на ваше устройство перехватчика данных ввода может привести к тому, что с сайтов, которые вы посетите, также будут похищены имена пользователя и пароли.

Еще одним значительным риском является то, что, если сайт, который обслуживает определенный провайдер услуг интернет безопасности будет взломан, компьютер пользователя может подвергнуться дополнительным угрозам, например, вирусам или троянам, по причине того, что не будет выполняться обновление сервисов безопасности.

Согласно данным компании EfficientIP, средняя ежегодная стоимость DNS-атак составляет 2,236 млн. долл. США, и 23% всех этих атак происходит через отравление кэша.

Предупреждение атак отравления кэша DNS
Существует несколько мер, которые необходимо принять организациям для предотвращения атак через отравление кэша DNS. Одной из них является настройка DNS-сервера таким образом, чтобы он имел как можно меньше «доверительных отношений» с другими DNS-серверами. Такая настройка создаст для хакеров трудности при использовании их собственного DNS-сервера для поражения целевого сервера.

Другая из необходимых мер заключается в том, чтобы DNS-сервер был настроен так, чтобы разрешение на запуск было только у тех служб, которые действительно необходимы. Наличие дополнительных служб, запуск которых не является необходимым для работы DNS-сервера только увеличивает масштабы атаки.

Служба безопасности компании должна убедиться, что использует последнюю версию DNS. Более новая версия BIND имеет функции безопасной криптографической передачи идентификаторов и рандомизации портов, которые могут помочь предотвратить атаки через отравление кэша.

Также, в вопросе предотвращения атак крайне важен уровень образования конечного пользователя. Для сотрудников необходимо провести обучение по распознаванию подозрительных сайтов, а также рассказать о том, что не нужно нажимать кнопку «Игнорировать» если они получат SSL-предупреждение перед подключением к сайту. Также, постоянно нужно учить их распознаванию фишинговых электронных писем или приемов фишинга в соцсетях.

Другие меры по предупреждению атак через отравление кэша – это просто хранить только данные, относящиеся к запрашиваемому домену. И ограничить ваши ответы так, чтобы они касались только запрашиваемого домена.

DNSSEC как решение проблемы
Инструменты по отравлению кэша могут помочь организациям предотвратить подобные атаки. Одним из наиболее популярных инструментов по предупреждению отравления кэша является DNSSEC (Domain Name System Security Extension). Оно разработано Рабочей группой инженеров Интернет и обеспечивает безопасную аутентификацию данных DNS.

Это решение дает компьютерам возможность подтверждать, являются ли их DNS-ответы настоящими, поскольку само оно не имеет способов определить настоящие они или фальшивые. Оно также может проверять существует ли определенное доменное имя, тем самым блокируя атаки среднего уровня.

Решение DNSSEC будет проверять корневой домен или иногда запрашивать «подписать корневой». Когда конечный пользователь попытается получить доступ к сайту, резолвер на его компьютере запрашивает IP-адрес сайта с рекурсивного сервера. После того, как сервер обратился к записи, он также запрашивает зоны ключа DNSSEC.  Этот ключ в последствии будет использоваться для проверки записи IP-адреса на соответствие записи на авторизированном сервере.

Затем, рекурсивный сервер имен проверяет, получена ли запись об адресе из авторизированного сервера имен. Затем, проверит, не была ли она изменена и выдаст верный исходный домен. Если же в исходнике были какие-либо изменения, рекурсивный сервер имен не разрешит выполнить подключение к сайту.

Решение DNSSEC становится все более преобладающим. Многие правительственные учреждения и финансовые организации требуют применения DNSSEC, поскольку выдача неподписанных зон не учитывает слабые стороны DNS и оставляет систему уязвимой перед различными спуфинг-атаками. Поэтому, организациям крайне важно рассмотреть возможность использования данного решения для защиты своих данных.
Вы должны войти