สารบัญ:
ในเดือนเมษายนแฮ็กเกอร์ชาวดัตช์ถูกจับในสิ่งที่ถูกเรียกว่าเป็นการปฏิเสธการโจมตีบริการที่ใหญ่ที่สุดเท่าที่เคยเห็นมา การโจมตีครั้งนี้เกิดขึ้นกับ Spamhaus องค์กรต่อต้านสแปมและจาก ENISA ซึ่งเป็นหน่วยงานด้านความปลอดภัยด้านไอทีของสหภาพยุโรปพบว่าโครงสร้างพื้นฐานของ Spamhaus มีปริมาณถึง 300 กิกาบิตต่อวินาที มันยังก่อให้เกิดความแออัดของอินเทอร์เน็ตที่สำคัญและติดขัดกับโครงสร้างพื้นฐานอินเทอร์เน็ตทั่วโลก
แน่นอนว่าการโจมตี DNS นั้นหาได้ยากมาก แต่ในขณะที่แฮ็กเกอร์ในกรณีของ Spamhaus มีวัตถุประสงค์เพื่อทำอันตรายต่อเป้าหมายของเขาเท่านั้นการโจมตีที่มีขนาดใหญ่ขึ้นยังชี้ให้เห็นถึงสิ่งที่หลายคนเรียกว่าเป็นข้อบกพร่องสำคัญในโครงสร้างพื้นฐานอินเทอร์เน็ต: ระบบชื่อโดเมน ด้วยเหตุนี้การโจมตีโครงสร้างพื้นฐาน DNS หลักจึงทำให้นักเทคนิคและนักธุรกิจต้องดิ้นรนหาวิธีแก้ปัญหา แล้วคุณล่ะ สิ่งสำคัญคือคุณต้องรู้ว่าคุณมีตัวเลือกใดบ้างในการรองรับโครงสร้างพื้นฐาน DNS ของธุรกิจของคุณเองรวมถึงวิธีการทำงานของเซิร์ฟเวอร์รูท DNS ดังนั้นลองมาดูปัญหาบางอย่างและสิ่งที่ธุรกิจสามารถทำได้เพื่อป้องกันตัวเอง (เรียนรู้เพิ่มเติมเกี่ยวกับ DNS ใน DNS: หนึ่งโปรโตคอลเพื่อกฎพวกเขาทั้งหมด)
โครงสร้างพื้นฐานที่มีอยู่
ระบบชื่อโดเมน (DNS) มาจากช่วงเวลาที่อินเทอร์เน็ตถูกลืม แต่นั่นไม่ได้ทำให้เป็นข่าวเก่า ด้วยการคุกคามของการโจมตีทางไซเบอร์ที่มีการเปลี่ยนแปลงตลอดเวลา DNS ได้รับการพิจารณาอย่างถี่ถ้วนเป็นเวลาหลายปี ในช่วงเริ่มต้น DNS ไม่มีการรับรองความถูกต้องในรูปแบบใด ๆ เพื่อตรวจสอบตัวตนของผู้ส่งหรือผู้รับการสืบค้น DNS
ในความเป็นจริงเป็นเวลาหลายปีที่เซิร์ฟเวอร์ชื่อหลักหรือเซิร์ฟเวอร์หลักถูกโจมตีอย่างกว้างขวางและหลากหลาย วันนี้พวกเขามีความหลากหลายทางภูมิศาสตร์และดำเนินการโดยสถาบันประเภทต่างๆรวมถึงหน่วยงานราชการหน่วยงานการค้าและมหาวิทยาลัยเพื่อรักษาความสมบูรณ์ของพวกเขา
การโจมตีบางครั้งประสบความสำเร็จในอดีต ตัวอย่างการโจมตีที่ทำให้หมดกำลังใจในโครงสร้างพื้นฐานของเซิร์ฟเวอร์รากเกิดขึ้นในปี 2545 (อ่านรายงานเกี่ยวกับที่นี่) แม้ว่ามันจะไม่ได้สร้างผลกระทบที่เห็นได้ชัดเจนสำหรับผู้ใช้อินเทอร์เน็ตส่วนใหญ่ แต่ก็ดึงดูดความสนใจของ FBI และกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐเพราะเป็นมืออาชีพสูงและมีเป้าหมายอย่างมาก หากมีการยืนยันเป็นเวลานานกว่าหนึ่งชั่วโมงผู้เชี่ยวชาญกล่าวว่าผลลัพธ์อาจเป็นความหายนะการแสดงองค์ประกอบของโครงสร้างพื้นฐาน DNS ของอินเทอร์เน็ตทั้งหมด แต่ไร้ประโยชน์
เพื่อเอาชนะส่วนสำคัญดังกล่าวของโครงสร้างพื้นฐานของอินเทอร์เน็ตจะให้อำนาจแก่ผู้โจมตีที่ประสบความสำเร็จอย่างมาก เป็นผลให้เวลาและการลงทุนที่สำคัญได้ถูกนำมาใช้กับปัญหาของการรักษาความปลอดภัยโครงสร้างพื้นฐานเซิร์ฟเวอร์ราก (คุณสามารถตรวจสอบแผนที่แสดงเซิร์ฟเวอร์รากและบริการของพวกเขาได้ที่นี่)
การรักษาความปลอดภัย DNS
นอกเหนือจากโครงสร้างพื้นฐานหลักแล้วสิ่งสำคัญคือการพิจารณาว่าโครงสร้างพื้นฐาน DNS ของธุรกิจของคุณแข็งแกร่งเพียงใดจากการโจมตีและความล้มเหลว เป็นเรื่องปกติสำหรับตัวอย่าง (และระบุไว้ใน RFCs) ว่าเนมเซิร์ฟเวอร์ควรอยู่ในเครือข่ายย่อยหรือเครือข่ายที่แตกต่างกันโดยสิ้นเชิง กล่าวอีกนัยหนึ่งถ้า ISP A มีไฟฟ้าขัดข้องเต็มและเซิร์ฟเวอร์ชื่อหลักของคุณออฟไลน์ ISP B จะยังคงให้บริการข้อมูล DNS หลักของคุณแก่ทุกคนที่ขอ
Domain Name System Security Extensions (DNSSEC) เป็นหนึ่งในวิธีที่นิยมที่สุดที่ธุรกิจสามารถรักษาความปลอดภัยโครงสร้างพื้นฐานเซิร์ฟเวอร์ชื่อของตัวเอง สิ่งเหล่านี้เป็นส่วนเสริมเพื่อให้แน่ใจว่าเครื่องที่เชื่อมต่อกับเซิร์ฟเวอร์ชื่อของคุณเป็นสิ่งที่มันบอกว่าเป็น DNSSEC ยังอนุญาตให้มีการตรวจสอบความถูกต้องเพื่อระบุว่าคำขอมาจากที่ใดรวมถึงการตรวจสอบว่าข้อมูลนั้นไม่ได้ถูกเปลี่ยนเส้นทาง อย่างไรก็ตามเนื่องจากลักษณะที่เป็นสาธารณะของระบบชื่อโดเมนการเข้ารหัสที่ใช้ไม่รับประกันความลับของข้อมูลและไม่มีแนวคิดใด ๆ เกี่ยวกับความพร้อมใช้งานของมันหากส่วนต่างๆของโครงสร้างพื้นฐานประสบความล้มเหลวของคำอธิบายบางอย่าง
จำนวนเร็กคอร์ดการกำหนดคอนฟิกถูกใช้เพื่อจัดเตรียมกลไกเหล่านี้รวมถึงชนิดเร็กคอร์ด RRSIG, DNSKEY, DS และ NSEC (สำหรับข้อมูลเพิ่มเติมให้ตรวจสอบ 12 DNS Records Explained.)
RRISG จะใช้เมื่อใดก็ตามที่ DNSSEC พร้อมใช้งานสำหรับทั้งเครื่องที่ส่งคิวรีและคิวรีที่ส่ง เร็กคอร์ดนี้ถูกส่งพร้อมกับชนิดเร็กคอร์ดที่ร้องขอ
DNSKEY ที่มีข้อมูลที่เซ็นชื่ออาจมีลักษณะเช่นนี้:
ripe.net มีประวัติ DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + + BIx8u98b EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
ระเบียน DS หรือผู้ลงนามที่ได้รับมอบหมายจะถูกใช้เพื่อช่วยรับรองความถูกต้องของห่วงโซ่ความไว้วางใจเพื่อให้ผู้ปกครองและโซนเด็กสามารถสื่อสารกับระดับความสะดวกสบายที่เพิ่มขึ้น
NSEC หรือการรักษาความปลอดภัยครั้งถัดไปรายการจะข้ามไปยังรายการที่ถูกต้องถัดไปในรายการ DNS เป็นวิธีที่สามารถใช้เพื่อส่งคืนรายการ DNS ที่ไม่มีอยู่จริง นี่เป็นสิ่งสำคัญเพื่อให้เฉพาะรายการ DNS ที่กำหนดค่าเท่านั้นที่เชื่อถือได้ว่าเป็นของแท้
NSEC3 กลไกการรักษาความปลอดภัยที่ได้รับการปรับปรุงเพื่อช่วยลดการโจมตีในรูปแบบพจนานุกรมได้รับการยอมรับในเดือนมีนาคม 2551 ใน RFC 5155
การรับ DNSSEC
แม้ว่าผู้เสนอหลายคนได้ลงทุนในการปรับใช้ DNSSEC แต่ก็ไม่ได้อยู่ที่การวิจารณ์ แม้จะมีความสามารถในการช่วยหลีกเลี่ยงการโจมตีเช่นการโจมตีแบบกึ่งกลางซึ่งการสอบถามที่สามารถถูกแย่งชิงและป้อนไม่ถูกต้องที่จะทำการสอบถาม DNS โดยไม่รู้ตัวมีปัญหาความเข้ากันได้กับบางส่วนของโครงสร้างพื้นฐานอินเทอร์เน็ตที่มีอยู่ ปัญหาหลักคือ DNS มักจะใช้ User Datagram Protocol (UDP) ที่ใช้แบนด์วิดท์น้อยลงในขณะที่ DNSSEC ใช้ Protocol Transmission Control ที่หนักกว่า (TCP) เพื่อส่งผ่านข้อมูลไปมาเพื่อความน่าเชื่อถือและความน่าเชื่อถือที่มากขึ้น ส่วนใหญ่ของโครงสร้างพื้นฐาน DNS เก่าซึ่งมีจำนวนคำขอ DNS นับล้านตลอด 24 ชั่วโมงต่อวันเจ็ดวันต่อสัปดาห์อาจไม่สามารถเพิ่มปริมาณการใช้งานได้ ถึงกระนั้นหลายคนเชื่อว่า DNSSEC เป็นก้าวสำคัญในการรักษาความปลอดภัยของโครงสร้างพื้นฐานอินเทอร์เน็ต
แม้ว่าจะไม่มีสิ่งใดในชีวิตที่รับประกันได้ใช้เวลาสักครู่เพื่อพิจารณาความเสี่ยงของคุณเองอาจป้องกันไม่ให้ปวดหัวจำนวนมากในอนาคต โดยการปรับใช้ DNSSEC เช่นคุณสามารถเพิ่มความมั่นใจในส่วนของโครงสร้างพื้นฐาน DNS ที่สำคัญของคุณ
