Isi kandungan:
Pada bulan April, seorang penggodam Belanda telah ditangkap kerana apa yang dipanggil penafian penyebaran serangan terbesar yang pernah dilihat. Serangan itu dilakukan pada Spamhaus, sebuah organisasi anti-spam, dan menurut ENISA, agensi keselamatan IT Union, beban pada infrastruktur Spamhaus mencapai 300 gigabit per detik, tiga kali rekod sebelumnya. Ia juga menyebabkan kesesakan Internet yang besar, dan menjejaskan infrastruktur Internet di seluruh dunia.
Sudah tentu, serangan DNS jarang berlaku. Tetapi sementara penggodam dalam kes Spamhaus hanya bermaksud untuk mencederakan sasarannya, ramalan yang lebih besar dari serangan itu juga menunjuk kepada apa yang banyak memanggil kecacatan utama dalam infrastruktur Internet: Sistem Nama Domain. Akibatnya, serangan baru-baru ini terhadap infrastruktur teras teras telah menyebabkan para juruteknik dan ahli perniagaan bergegas untuk penyelesaian. Bagaimana dengan kamu? Adalah penting untuk mengetahui pilihan anda untuk memperkuat infrastruktur DNS perniagaan anda sendiri dan juga bagaimana pelayan root DNS beroperasi. Oleh itu, mari kita lihat beberapa masalah, dan usaha yang boleh dilakukan untuk melindungi diri mereka. (Ketahui lebih lanjut mengenai DNS di DNS: Satu Protokol untuk Peraturan Mereka Semua.)
Infrastruktur yang sedia ada
Sistem Nama Domain (DNS) adalah dari masa yang dilupakan Internet. Tetapi itu tidak membuat berita lama. Dengan ancaman cyberattacks yang sentiasa berubah, DNS telah banyak diteliti sepanjang tahun. Di peringkat awal, DNS tidak menawarkan bentuk pengesahan untuk mengesahkan identiti penghantar atau penerima pertanyaan DNS.
Malah selama bertahun-tahun, pelayan nama utama, atau pelayan root, telah mengalami serangan yang luas dan pelbagai. Hari-hari ini mereka secara geografi berbeza dan dikendalikan oleh pelbagai jenis institusi, termasuk badan kerajaan, entiti komersial dan universiti, untuk mengekalkan integriti mereka.
Secara kebimbangan, beberapa serangan telah agak berjaya pada masa lalu. Serangan melumpuhkan pada infrastruktur pelayan root, misalnya, berlaku pada tahun 2002 (baca laporan mengenainya di sini). Walaupun ia tidak mencetuskan kesan yang ketara bagi kebanyakan pengguna Internet, ia menarik perhatian FBI dan Jabatan Keselamatan Dalam Negeri Amerika Syarikat kerana ia sangat profesional dan sangat disasarkan, yang mempengaruhi sembilan dari 13 pelayan akar operasi. Sekiranya ia berterusan selama lebih daripada satu jam, pakar mengatakan, hasilnya mungkin bencana, unsur-unsur pentadbiran infrastruktur DNS Internet tidak berguna.
Untuk mengalahkan bahagian integral dari infrastruktur Internet itu akan memberikan penyerang yang berjaya banyak kuasa. Akibatnya, masa dan pelaburan yang signifikan telah diterapkan pada isu mendapatkan infrastruktur pelayan root. (Anda boleh menyemak peta yang menunjukkan pelayan root dan perkhidmatan mereka di sini.)
Mengamankan DNS
Selain dari infrastruktur teras, sama pentingnya untuk mempertimbangkan betapa kuatnya infrastruktur DNS perniagaan anda sendiri terhadap kedua-dua serangan dan kegagalan. Ia biasa berlaku (dan dinyatakan dalam beberapa RFCs) bahawa pelayan nama harus berada pada subnet atau rangkaian yang sama sekali berbeza. Dengan kata lain, jika ISP A mempunyai gangguan penuh dan pelayan nama utama anda berada di luar talian, maka ISP B akan tetap melayani data DNS utama anda kepada sesiapa yang meminta.
Sambungan Keselamatan Sistem Nama Domain (DNSSEC) adalah salah satu cara yang paling popular bagi perniagaan untuk mendapatkan infrastruktur pelayan nama mereka sendiri. Ini adalah tambahan untuk memastikan bahawa mesin yang menyambungkan ke pelayan nama anda adalah apa yang dikatakannya. DNSSEC juga membenarkan pengesahan untuk mengenal pasti di mana permintaan datang, serta mengesahkan bahawa data itu sendiri tidak berubah dalam perjalanan. Walau bagaimanapun, disebabkan sifat umum Sistem Nama Domain, kriptografi yang digunakan tidak memastikan kerahsiaan data, dan tidak mempunyai konsep ketersediaannya sekiranya sebahagian infrastruktur mengalami kegagalan beberapa keterangan.
Sejumlah rekod konfigurasi digunakan untuk menyediakan mekanisme ini termasuk jenis rekod RRSIG, DNSKEY, DS dan NSEC. (Untuk maklumat lanjut, lihat 12 Rekod DNS Dijelaskan.)
RRISG digunakan apabila DNSSEC tersedia untuk kedua-dua mesin yang mengemukakan pertanyaan dan yang menghantarnya. Rekod ini dihantar bersama dengan jenis rekod yang diminta.
DNS DNS yang mengandungi maklumat yang ditandatangani mungkin kelihatan seperti ini:
ripe.net mempunyai rekod DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS, atau penandatangan yang diwakilkan, rekod digunakan untuk membantu mengesahkan rantaian kepercayaan supaya ibu bapa dan zon kanak-kanak dapat berkomunikasi dengan tahap keselesaan tambahan.
NSEC, atau selamat lagi, masukan pada dasarnya akan melompat ke entri sah yang seterusnya dalam senarai penyertaan DNS. Ini adalah kaedah yang boleh digunakan untuk mengembalikan entri DNS yang tidak wujud. Ini penting supaya hanya penyertaan DNS yang dikonfigurasikan yang dipercayai sebagai tulen.
NSEC3, mekanisme keselamatan yang lebih baik untuk membantu mengurangkan serangan gaya kamus, telah disahkan pada Mac 2008 di RFC 5155.
Penerimaan DNSSEC
Walaupun banyak penyokong telah melabur dalam menggerakkan DNSSEC, ia bukan tanpa pengkritiknya. Walaupun keupayaannya untuk membantu mengelakkan serangan seperti serangan manusia-dalam-tengah, di mana pertanyaan boleh dirampas dan tidak disusuli dengan tidak sengaja kepada mereka yang menjana pertanyaan DNS, ada masalah yang dikatakan keserasian dengan beberapa bahagian infrastruktur Internet yang sedia ada. Isu utama adalah bahawa DNS biasanya menggunakan Protokol Datagram Pengguna lapar jalur lebar yang lebih sedikit manakala DNSSEC menggunakan Protokol Kawalan Transmisi yang lebih berat (TCP) untuk lulus datanya ke belakang untuk kebolehpercayaan dan akauntabiliti yang lebih besar. Sebahagian besar infrastruktur DNS lama, yang mendapat permintaan jutaan permintaan DNS 24 jam sehari, tujuh hari seminggu, mungkin tidak dapat meningkatkan trafik. Walaupun begitu, ramai yang percaya bahawa DNSSEC adalah langkah utama ke arah mendapatkan infrastruktur Internet.
Walaupun tiada apa pun dalam kehidupan yang dijamin, mengambil sedikit masa untuk mempertimbangkan risiko anda sendiri mungkin menghalang banyak sakit kepala yang mahal pada masa akan datang. Dengan menggunakan DNSSEC, sebagai contoh, anda boleh meningkatkan keyakinan anda pada bahagian-bahagian utama infrastruktur DNS anda.
