Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Bezpieczeństwo serwerów DNS

Data publikacji: 21-02-2019 Autor: Konrad Kubecki
Dobrym źródłem wiedzy o...

Trudno wyobrazić sobie funkcjonowanie internetu bez usługi DNS. Niestety serwery nazw, pomimo że krytyczne dla działania sieci, bywają zaniedbane w kontekście hardeningu. Jak temu zaradzić?

 

Usługa DNS w obecnym kształcie została stworzona ponad 30 lat temu i oferowała ogromne ułatwienie w komunikacji – pozwalała stosować łatwe do zapamiętania nazwy stron WWW zamiast adresów IP. W tamtych pionierskich czasach internetu grono osób korzystających z sieci było znikome w porównaniu z jego dzisiejszą liczebnością. Zagrożenia również były inne i miały mniejszą skalę rażenia. Stworzone wtedy fundamenty usługi DNS przetrwały do dzisiaj. Przez trzy dekady całkowicie zmieniły się jednak typy ataków oraz niepowołanych działań przez osoby trzecie. W artykule omawiamy najczęściej spotykane obecnie zagrożenia, na które narażone są serwery DNS, oraz sposoby ograniczania ryzyka ich kompromitacji lub wysycenia zasobów.

> CZUŁY PUNKT

Jednym z istotniejszych zagrożeń dotyczących bezpieczeństwa serwerów DNS jest obsługa zapytań rekurencyjnych. Jeśli dany serwer DNS nie zna odpowiedzi na zapytanie klienta, to zwraca się z tym zapytaniem do innych tego typu serwerów. Będzie żądał od nich odpowiedzi lub namiarów na jeszcze inny serwer DNS, który potencjalnie potrafi odpowiedzieć na zapytanie. W ten sposób będzie dążył do znalezienia serwera znającego odpowiedź tak długo, aż wreszcie uzyska poszukiwany adres IP, pod którym rezyduje domena, i finalnie przekaże tę informację klientowi. W pewnych przypadkach zwracana do klienta odpowiedź może być informacją, że nie udało się uzyskać adresu IP dla danej nazwy. Dotyczy to sytuacji, gdy zapytanie odnosi się do niewłaściwej nazwy domeny, czyli takiej, która w rzeczywistości nie istnieje.

Obsługa zapytań rekurencyjnych jest najczęściej spotykana w serwerach DNS pracujących na potrzeby komputerów znajdujących się w sieci LAN. Taki serwer jest w istocie serwerem local-cache, z którego korzystają komputery danej organizacji – jest ich pośrednikiem w odpytywaniu zewnętrznych serwerów DNS. Korzyść ze stosowania takiego serwera jest oczywista – wpływa na wydajność zapytań, gdyż odpowiedzi znajdują się zazwyczaj na maszynie umiejscowionej w tej samej sieci lokalnej co komputer wysyłający zapytanie, i często nie ma konieczności odpytywania serwerów odległych geograficznie. Wystarczy, że lokalny serwer raz odpyta o adres IP danej domeny, umieści go w swojej pamięci i będzie dzielił się tą informacją z każdym lokalnym klientem pytającym o to samo. Co więcej, ustalenie autorytatywnych serwerów dla danych stref powoduje, że serwer DNS obsługujący zapytania rekurencyjne wie, które zewnętrzne serwery pytać w przypadku kolejnych zapytań dotyczących danej strefy.

> PODATNOŚĆ NA ATAKI

Problem bezpieczeństwa pojawia się przy serwerach DNS obsługujących zapytania rekurencyjne i jednocześnie dostępnych publicznie. Są one bowiem podatne na kilka typów ataków, takich m.in. jak DoS, DDoS czy DNS Cache Poisoning (nazywany również DNS spoofing lub Zatruwaniem DNS).

Ataki typu DoS i DDoS polegają na wysyłaniu do serwera obsługującego zapytania rekurencyjne wielu zapytań zawierających sfałszowany adres źródłowy. Oznacza to, że odpowiedź nigdy nie zostanie przesłana do klienta faktycznie wysyłającego zapytanie. Trafi do innego odbiorcy, niekoniecznie świadczącego usługę rozwiązywania nazw, który nie ma nic wspólnego z tym zapytaniem, ale został obrany za cel ataku. Możliwe jest to ze względu na charakterystykę wykorzystywanego przez usługę DNS protokołu UDP i brak weryfikacji klienta wysyłającego zapytania.

Serwer DNS tworzy odpowiedź i wysyła ją na adres źródłowy bez sprawdzania, czy jest on poprawny (brak dodatkowej komunikacji i weryfikacji pochodzenia pakietów). Sytuację pogarsza fakt, że odpowiednio przygotowane zapytanie może zmusić serwer DNS do stworzenia odpowiedzi nawet kilkudziesięciokrotnie większej pod względem objętości. Wysłanie jej przez nieświadomy ataku serwer DNS do obranego za cel odbiorcy będzie wiązać się ze zwiększonym zapotrzebowaniem na transfer sieciowy. W przypadku większości ataków DDoS wykorzystywanych jest wiele serwerów DNS obsługujących zapytania rekurencyjne oraz wielu nieświadomych klientów, których moc obliczniowa i przepustowość sieciowa używana jest do generowania spreparowanych zapytań DNS. Cel ataku zalewany jest natomiast ogromnymi ilościami pakietów, których się nie spodziewa. Efektem takiego działania jest wysycenie łącza celu ataku oraz zwiększona utylizacja jego zasobów, przede wszystkim procesora. W skrajnych przypadkach dochodzi do całkowitej niedostępności atakowanego celu.

Pośrednią ofiarą ataku DDoS są także nieświadome serwery DNS, wykorzystane do ich przeprowadzenia. Zapytania rekurencyjne wymagają bowiem użycia większej ilości zasobów niż zapytania iteracyjne, dlatego bardzo duża liczba zapytań może skutecznie ograniczać responsywność serwerów lub wręcz zatrzymać ją całkowicie. Odbieranie wielu fałszywych zapytań i wysyłanie odpowiedzi ma więc istotny wpływ na obciążenie maszyn oraz wysycenie łączy.

> OCHRONA PRZED DOS I DDOS

Serwer DNS umieszczony w sieci lokalnej, z wyjściem do internetu, ale bez własnego adresu zewnętrznego lub NAT-owania, pozwalającego na dostanie się do niego z zewnątrz, będzie bardziej odporny na zagrożenia niż obsługujący zapytania rekurencyjne serwer DNS wystawiony w internecie. W drugim przypadku ryzyko stania się ofiarą lub elementem zorganizowanego ataku jest zdecydowanie większe. Z tego względu zalecane są pewne konfiguracje mające na celu wyeliminować podatność na DoS i DDoS. Najprostszą rekomendacją jest... wyłączenie obsługi zapytań rekurencyjnych. Ta funkcja nie powinna być uruchamiana przede wszystkim na autorytatywnych serwerach DNS. Zalecane jest, że jeżeli serwer nie posiada wiedzy o adresie IP wybranej domeny, to nie powinien pytać o nią innych serwerów w imieniu klienta. Obsługując tylko iteracyjne zapytania, powinien udzielić najlepszej znanej mu odpowiedzi i zakończyć obsługę zapytania.

 

[...]

 

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"