Внедряването на DNSSEC придоби размах след открития от Камински бъг

Категория: Информационна Сигурност , Интернет
Information Security & Storage
четвъртък, 8 Октомври 2009 16:06ч

Внедряването на DNSSEC придоби размах след открития от Камински бъг

Майкъл Мимозо


Има някакво тонизиращо качество в Domain Name System (Системата за имена на домейни). Тя работи навсякъде, обикновено без особена поддръжка. Проблемът е, че макар да не създава неприятности, по принцип DNS не е много сигурна. Миналият юли ученият Дан Камински осветли най-неприятната тайна, пазена от DNS. Дефектът, открит от него, наречен отравящ кеша бъг (cache-poisoning bug), превърна DNS (системата е известна най-вече с това, че превежда разбираеми за човека имена на домейни в IP адреси, които сървърите разбират) в централна сцена за света на компютърната сигурност. Малкият протокол с големи възможности бързо се превърна в най-големия проблем на уеб. Изведнъж той се оказа лесен за превземане от нападателите,използващи го да пренасочват търсенията към злонамерени уебсайтове, където чакат фишинг атаки или SQL инжекции.


Въпреки амбициозните усилия за ремонт на дефекта, координирани от Камински и движени от цяло ято производители, сред копито имена като Cisco, Microsoft и други, не се задава нищо, което би могло да се нарече дълготрайно решаване на проблема.


Неговият бъг не само сложи началото на ураган от публикации и нови спорове около това дали е редно да се разкриват подобни бъгове, но хвърли ярка светлина върху недостатъците на DNS. Той също поднови интереса към DNSSEC или DNS Security Extensions, която е набор протоколи, които въвеждат до голяма степен PKI в Domain Name System.


DNSSEC е лекът за атаките, отравящи кешав DNS. Никой не спори по този въпрос. Той няма да поправи всички беди на DNS, но ще предотврати една от най-големите заплахи за електронната търговия и доверието в интернет. Внедряването на DNSSEC обаче е друг въпрос. То не само изисква значителни инфраструктурни промени в големите корпорации, но и разрешаването на множество политически битки, които задържат масовото му внедряване.


„DNSSEC е интересна не поради коригирането на DNS – казва Камински, признавайки, че докато неговият бъг не стана публично достояние през миналия юли, DNS протоколът не е бил добре разбиран – хората просто са знаели, че той работи. - DNSSEC е интересен понеже ни позволява да се заемем с основния проблем, който имаме в интернет по един систематичен и мащабируем начин.“


Политики и ангажиране на основните и от най-високо ниво домейни


DNSSEC не е нов. Той е на повече от 15 години, но всяка инициатива по отношение на него е потъвала в забвение поради проблеми със сложността и мащабируемостта. DNSSEC обещава да защитава интернет срещу атаките с отравяне на кеша, като откритата от Кмински (той не гарантира конфиденциалност, нито защитава от атаки от типа отказ от услуга). Нападателите могат да отровят DNS кеша, като се възползват от пукнатината в системата, което прави невъзможно за DNS сървъра да потвърди заявката на уебсайт. Вместо това се кешират некоректни входни данни и се отказват други, опитващи се да достигнат уебсайта. Тези потребители след това се пренасочват към сайта на нападателя, където биват инфектирани от зловреден код или биват подмамени да дадат лична информация.


DNSSEC се противопоставя на тази възможност чрез прилагане на цифрови подписи и криптиране към DNS търсенията. Всяко търсене добавя четири нови ресурсни типове запис към заявката, според уебсайта dnssec.net: ресурсен запис на подпис; DNS публичен ключ; упълномощаващ подпис и Next Secure или NSEC. DNSSEC потвърждава дали съответните ключове съвпадат с информацията на DNS сървъра на изпращача. Ако няма съвпадение, заявката се отказва.


Звучи доста сложно нали?


Но по общо мнение това не намалява необходимостта от него. В действителност DNSSEC движението набира скорост. Неотдавна организацията за домейни от най-високо ниво .org се включи към DNSSEC, присъединявайки се къмдруга с топ ниво .gov, която направи това по-рано тази година. Шведският основен домейн .se е регистриран от години, както и някои банкови домейни в Бразилия. DNSSEC обаче няма да стигне до Иванчо и Марийка, т.е. до критична маса потребители, докато домейнът .com не подпише, както и 13-те домейна на основни зони в интернет.


„Необходимо е основните играчи да се регистрират, трябва .com да подпише – казва Камински. – В момента .org е много по-сигурен от .com. Това не е ситуация, която може да продължи още дълго. Ако подпише .com, това ще е главната технология.“


VeriSign контролира .com и .net домейните, както и два сървърни клъстера, които образуват основните домейни. IANA (Internet Assigned Numbers Authority) управлява разположението на IP адресите и управлява основната зона. IANA, подзвено на ICANN, решава кое отива в основната зона, включително DNSSEC, и рботи в тясно сътрудничество с VeriSign, която управлява сървърните клъстери, които генерират дневните файлове на зоните, които се подават на операторите на сървърите на имена.


VeriSign обяви през февруари, че ще впише .com в DNSSEC до 2011. VeriSign отказа да бъде интервюирана за тази статия. Мнозина очакват, че включването на .org и .gov към DNSSEC ще осветли още по-силно нуждата от подкрепа на сигурността на DNS.


„Включването на домейните от най-високо ниво е изключително важно, но в действителност най-критични са подписите на основните домейни – казва Рам Мохан, вицепрезидент и главен технолог на Afilias, доставчик на услуги за домейна .org. – Включването на основните домейни ще даде сигурност, че можете да имате завършена доверена верига в цялата си екосистема“


Всичко зависи от ъгъла, под който се гледа на DNS. Според Мохан днес DNS е невероятно уязвим и много отворен за атаки от типа отравяне на кеша и на Камински, независимо от патчовете. Ако този проблем не бъде решен, много скоро ще има атаки с мащаб, какъвто не сме виждали досега, смята той. Вписването на .org e символично и е важен знак по пътя напред. Въпреки че технологичните предизвикателства са големи, политическите са може би още по-остри.


Според изобретателя на DNS Пол Мокапетрис количеството данни в основните директории е достатъчно малко и включването им не би довело до особени затруднения. Технологичните проблеми са тривиални, но политическите саголяма бъркотия, казва той. Мокапетрис, който е председател на борда на Nominum, доставчик на имена и адреси и първият разработчик на BIND9 и ISC DHCP3, наблюдава подмятането на DNSSEC в дискусиите около стандартите и политическото боричкане. Трудността около политическите проблеми е контролът върху криптиращите ключове, които ще подписват основните домейни. Кой ще държи ключовете? Кои криптографски системи и алгоритми ще бъдат вкарани в законите на всички нации? Цифровите подписи, които работят в САЩ. Може да не са приемливи за Русия или Азия. Наистина сложни въпроси.


„Трябва да помислим как да разпределим властта и да споделим контрола – казва Мокапетрис. – Ако има единовластие на една държава, няма да можете да получите сътрудничество от никойдруг. Проблемът с DNSSEC е, че е ориентиран към една инстанция, която де е отговорна, и всеки смята, че това е неговата.“ (Вижте карето „Призив за алтернативи“)


Мокапетрис се опасява, че макар бъгът на Камински да притиска интернет доставчиците и корпорациите да патчват сериозната уязвимост, хората няма да са достатъчно решителни да заделят необходимите средства и ресурси за DNSSEC, без да са ударени от мащабна и конкретна атака.


„Моята лична позиция е, че за да се разпространи широко DNSSEC, трябва да се случи атака за милиарди долари – казва той. – Сега това, което се знае, е ,че има уязвимост някъде там, но хората за загрижени повече за други неща. Не мисля, че DNSSEC е проектиран така, че да се инсталира лесно,въпреки че от 15 години се правят опити за това в много версии. Донякъде не е възможно да бъдат направени сериозни компромиси с цел лесно широкобхватно инсталиране. Това също е част от проблема.“


Сложността и мащабируемустта – пречки пред внедряването на DNSSEC


Много големи корпорации оперират със собствен DNS. Много компании предоставят своите DNS потребности на доставчик на услуги. DNSSEC набира скорост във вертикалните сегменти като финансови услуги, телекомуникации и правителство с .gov. Внедряването му в САЩ може да се разшири или поне такива са очакванията, когато продуктите станат по-зрели и предложат автоматично повсеместно инсталиране и управление на DNSSEC.


За разлика от DNS, който може лесно да бъде инсталиран и забравен, за DNSSEC трябва да се полагат грижи. Има безплатни и отворени инструменти за големите организации, които искат да внедрят DNSSEC ръчно.


„Трябва да генерирате ключове, трябва да вмъкнете ключовете в зоновите файлове, да впишете зоната и след това да вкарате зоната в подчинените сървъри – обяснява Марк Бе- нет, вицепрезидент по маркетинг в Secure64, доставчик на софтуер за регистриране на зони и управление на ключове.


Когато се генерират криптографски подписи, те са добри само за определен периодот време. Те трябва непрестанно да бъдат повторно регистрирани и често (седмично или по-често) регенерирани. Стойностите на ключовете трябва да се променят и периодично да се прави обръщане на ключовете.


„Ако работите със собствен DNS, вече имате многобройни варианти. Можете да го обезопасите още утре, но зависи колко съвършено искате да го направите – можете да отидете до крайност и закупите хардуерни модули за сигурност, за да съхранявате ключовете“ – казва Шейн Кер, BIND 10 програмен мениджър в Internet Systems Consortium, който управлява BIND, най-общоприетият DNS софтуер днес.


„За средните по мащаб организации не е необходима по-голяма сигурност за DNS от тази за уеб страницата им. Ако работите с SSL за страницата, може би бихте искали да помислите също за DNSSEC и да настроите съществуващите процедури, за имате подобни нива на сигурност – казва Кер. – Зависи от типа технология, която използвате. Ако работите с BIND, можете директно да използвате DNSSEC, а освен това има много търговски продукти, които можете да закупите и които работят с DNSSEC.“


Всичко това прибавя оперативна сложност


„Това не е от вида „постави веднъж и забрави – казва Бекет. – Това е голям прелом спрямо начина, по който сме свикнали да управляваме DNS в миналото. При DNSSEC има много повече активни процеси.“


Това означава, че трябва да се обучат DNS оператори и регистратори, които може да не са особено стимулирани по отношение DNSSEC, тъй като предлагат безплатно DNS на потребителите, за да разберат сигурността и отговорностите, свързани с управлението на DNSSEC.


„Опростяването е ключът тук – казва Мохан от Afilias – Чували сме оплаквания колко заплетен е DNSSEC – вписване на ключове, на зони и преобръщане на ключове. Това са вцепеняващи ума термини. Каква е реалната полза? Това се пропуска.“


„Ситуацията беше, че това е друго решение в търсенето на проблем. Уязвимостта на Камински дефинира проблема. Ние сме стигнали до точката, в която ясно обясняваме, че това решава проблема с отвличането на DNS, а не с целостта на данните, конфиденциалността им, фишинга и т.н.. Това трябва ясно да се каже. Всеки ще се сблъска с този проблем – отвличането на трафика на неговия домейн. Ако трябва да решим този проблем с едно добро решение, то това е DNSSEC.“


Кер обещава, че следващата версия BIND 9.7 има за цел да опрости използването на DNSSEC.


„В момента софтуерът внедрява всички стандарти, но не по лесен за използване начин – казва Кер. – Едно от големите препятствия е, че той е такъв, че не бихте искали администратор от среден клас да го конфигурира. Има много работа с UNIX командни редове и грозни криптографски низове, които не се побират в екрана. Надяваме се да направим това по-просто.“


Бекет смята, че големите доставчици на услуги, като кабелните и широколентовите доставчици, задават специфични въпроси по отношение на разгръщането на DNSSEC. Някои внедриха пилотно DNSSEC през месеците след разкриването от Камински на уязвимостта и се опитват да разберат някои допълнителни проблеми около разгръщането на DNSSEC.


„Това, което наблюдавам, е, че някои от големите доставчици на услуги активно търсят начини да предлагат сигурни DNS услуги най-вече на държавните си клиенти – казва Бекет. – Някои разширяват хоризонта си извън тях. Големите кабелни или DNS доставчици се тревожат за клиентите си и как да ги предпазят, и така все повече зони и домейни се регистрират.“


DNSSEC като двигател на бизнеса


Дан Камински вижда по-мащабна картина за DNSSEC.


Той го смята за крайъгълен камък на доверието в интернет и като трамплин за нова вълна продукти, които ще се мащабират извън границите на организациите по сигурен начин.


„В реалния свят доверието не се котира извън границите на дадена организация – казва Камински. – Ние имаме огромно количество системи, които позволяват на компаниите автентикация на собствените им хора и им дават възможност да ги управляват, наблюдават и взаимодействат с тях. В свят, в който организациите се занимават само със себе си, това е чудесно. Но ние не живеем в такъв свят и то от много години насам.“


Данните в доклада Verizon 2009 Data Breach Investigations Report (http://www.verizonbusiness.com/resources/security/reports/2009_databreach_ rp.pdf), публикувани през април, показват, че 60 процента от хакерските пробиви са поради пукнатини в автентикацията, обикновено кражба на парола. Все още паролите си остават най-общоприетият начин за автентикация, тъй като те работят и извън пределите на организацията и се мащабират добре.


В поставянето на DNSSEC в DNS, системата управляваща адресите между организации от 25 години, Камински вижда безкрайни възможности за доверие и нови бизнес двигатели.


„DNS работи. Той е най-големият PKI без ‘K.’ Всичко, което DNSSEC прави, е да добави ключове. Той поема тази система, която се мащабира страхотно и е жънала успех 25 години, и посочва, че нашите проблеми са между организациите, а сега имаме най-добрата технология в Мрежата за операции между организациите и то напълно доверена – казва Камински. – И ако приложим всичко правилно, ще можем да видим как всяка отделна компания въвежда нови услуги около факта, че има една доверена основа и една доверена система, която предоставя сигурността и извън границите на организациите.“


Наистина DNS прави повече от превода на IP адреси. Той маршрутизира имейли, VoIP трафик и дори RFID трафик. Камински вярва, че DNSSEC ще принуди компаниите да избягат от настоящата парадигма на сигурността, която е била проектирана за вътрешнофирмени нужди.


„Колко много хора са купували продукти, които работят великолепно в лабораторията и за няколко групи, но когато се опитат да гимащабират, не става и ги прибират в склада – казва Кмински. – Изморен съм от този проблем. Изморен съм от системи, проектирани само, за да се извърши продажбата. Искам да видя системи, които се разширяват в по-голе- ми мащаби отколкото клиентите, на които са продадени.“


Камински признава, че той не винаги е за- щитавал DNSSEC. Но изследванията, които извършил върху DNS, довели до откриването на бъга, го накарали да разбере нивата на свързване между организациите, които DNS може да предостави, и как с относително проста атака може да получи достъп до томовете на уеб базирани данни просто като подправи DNS. Той иска организациите да се откажат от моделите на довереност, базирани на пароли, и да приемат еднократния разход за DNSSEC и да разберат, че разходът ще се амортизира с всеки проект, който организацията предприеме.


„Хората ще внедрят несигурни решения, ако е прекалено скъпо да разгърнат теоретично правилното – казва Камински. - DNSSEC не е незначителен разход, но той може да се амортизира чрез продуктите, които ще бъдат политика, съответствие и чувствителност към приходите в цялата организация. Можем да елиминираме 30% от бъговете, които Verizon вижда. Това е нещо голямо. Това е директно възвръщане на инвестициите. В момента нямаме мащабируем начин да направим това, затова то струва пари. Ако поправим този проблем, парите ще бъдат спестени. Това се нарича бизнес модел и е нещо добро. „


Domain Name System, която Пол Мокапетрис създаде преди 25 години, не е била предназначена за това, което трябва да поддържа днес. Сигурността е едно от нещата, които са били оставени за по-късно, признава той, с очакването, че когато повече инженери придобият опит с DNS, повече неща ще бъдат добавени към него.


„Аз построих основата и първите два етажа – казва Мокапетрис. – През тези 25 години оттогава хората строят отгоре.“


DNSSEC е едно от тези допълнения и в годината, откакто бъгът на Дан Камински бе открит, той придоби ново значение и важност, тъй като организациите и инженерите виждат слабостите на DNS, изложени през техните очи.


„От много време моето мнение е, че DNSSEC е добро решение, той не решава перфектно всички проблеми, но решава малките проблеми, които се опитва да поправи, казва Мохан от Afilias. – Той е добро решение за проблема с отвличането на DNS.“


Призив за алтернативи


Някои учени не са склонни да приемат задължителността на DNSSEC. Победата на DNSSEC все още не е пълна


Има хора, които протакат, смятайки, че е трябва да сме предпазливи, преди да скочим с главата надолу във внедряването на DNSSEC.


„Смятам, че DNSSEC е препроектиран и се опитва да наложи PKI на DNS, а в това има и предимства, и недостатъци – казва Иван Арсе, главен технолог в Core Security Technologies. – DNSSEC се налага не защото е най-доброто нещо, но защото няма друго.”


Арсе повдига въпроса за сложността и раздутия DNSSEC код, преплетен с политически проблеми, преследващи внедряването му на основни и от най-високо ниво домейни.


“Част от колебанието около DNSSEC е, че силно разчита на магията на криптирането – ако имате проблем със сигурността, напръскайте го с малко криптиране и той ще бъде разрешен – казва Арсе. – Ако помислите, ще видите, че моделът, който той предлага, е модел от миналото. PKI е от началото на 90-те и не се движи с времето. Той изисква голямо количество код, за да се внедри, и много допълнителна оперативна работа. Той също е бизнес – трябва да се правят пари от DNSSEC. Не казвам, че няма да работи, но бих искал да видя една по-отворена дискусия за алтернативите.”


DNSSEC изисква преразглеждане и ремонт на инфраструктурата, макар и не нещо различно от това, с което корпорациите често се сблъскват. Патчът на Камински от миналата година изисква значителни инвестиции на време и ресурси, за да се подсигури, че той няма да засегне критични системи и приложения.


„Ако има начин да се адаптира сегашният протокол, за да се наложат някои основни механизми за сигурност, а не да сварим целия океан, за да решим всичко – смятам, че това ще е достатъчно и няма да е нужно да сменяме DNS инфраструктурата на цялата интернет – казва Арсе. – Това, което искам да кажа, е че не знаем колко дискусии са се провели относно алтернативите. Налагайки PKI, можем да решим някои проблеми, но няма гаранция, че това ще реши проблема със сигурността ма DNS. Не е имало открита дискусия, че това ще стане. “


В действителност въвеждането на DNSSEC изважда нова уязвимост в сигурността, известна като „разхождане в зоната”. DNSSEC излага на показ тайна информация за мрежата, подслонена в DNS. Нападателите, получавайки достъп до тази информация, ще имат предимството да знаят списъка симената на машините в определена зона – DNS е конфигурирана по такъв начин, че на потребителите не им е позволен достъп до информацията. DNSSEC трябва да може да докладва, когато имената не са намерени в зоната, следователно трябва да има достъп до информацията.


Отговорът е да се използва протоколът, известен като NSEC3, за да прикрие съдържанието на домейна. Според специалисти NSEC3 е върхова нова технология. Домейнът .gov, който по-рано тази година се е регистрирал за DNSSEC, използва също NSEC3. Това е причината понякога потребителите да имат затруднения да отворят уеб сайтове .gov.


Той изисква повече компютърна обработка в сървърите при заявки. Обикновено DNSSEC търси име и ако то не съществува, получавате преизчислен отговор, маркиращ, че то не съществува. NSEC3 взема криптирания хеш на заявката. Ако търсите ABC.com, няма да получите преизчислен отговор, но ще получите обратно един MD5 хеш.


Пол Мокапетрис, създателят на DNS през 1983 г., е съгласен, че не е необходимо веднага широкото въвеждане на DNSSEC. С DNS се маршрутизират имейли, VoIP телефонни повиквания и много други видове мрежов трафик и защо DNSSEC да не бъде насочен към специфични приложения?


„Нищо не налага регистрирането на DNSSEC за цялото пространство – казва Мокапетрис. – Ние можем да видим как да регистрираме всички телефони или RFID данни или собствения си интернет. Много хора не разбират, че много от DNS данните, милиарди късчета информация, са частни зад защитните стени. Може би DNSSEC може да се включи в по-ограничен контекст, а след като придобием повече инструменти и опит, той може да се превърне в масов. Това са моите надежди за него.”


Според Арсе DNSSEC е срещу отворената природа на DNS. Добавяйки PKI, всъщност става прехвърляне на контрола от DNS оператора към контролиращите криптиращите ключове.


„Проблемите на DNS са известни от десетилетие. Може би за създаващите политиките и за ИТ мениджърите не е било ясно, но на експертите по сигурност е известно, че DNS е счупен и те знаят това от десет години – казва Арсе. – Добре е, че някой все пак обръща внимание на това, но аз смятам, че решението не е да се реагира и налага задължителното внедряване на DNSSEC.” – Майкъл Мимозо


Вписването на домейна.org е предпазливо


Организацията Public Interest Registry (Регистрации от обществен интерес) планира една година бета тест на DNSSEC за домейна .org.


PUBLIC INTEREST REGISTRY (PIR) управлява домейна .org, който е последният от топ-домейните, регистриран за DNSSEC. От PIR казват, че инициативата е фундаментална крачка, която ще позволи разработването на сигурни приложения и ще увеличи доверието в интернет.


„DNSSEC е разширение на DNS и е най-добрият начин за ефективна автентикация на сайтове – казва Ланс Уолак, директор маркетинг и управление на продукти в PIR. – Това е най-добрият метод, защото увеличава възможностите на DNS. DNS е доказал от много време, че е добра платформа за изграждане на приложения и до днес е много отворена и стабилна архитектура.”


PIR съобщи на 3 юни, че топ-домейна .org е вписан и през следващите шест месеца на годината ще направи бета тест на DNSSEC разширението. Това е последният основен топ-домейн, регистриран за DNSSEC, .gov е вписан през февруари.


„Ние се придвижваме внимателно, по един отговорен начин със зоната .org и тестването на DNSSEC, като има тестови домейни, коитоне са свързани с реални живи сайтове – казва Уолак. – Започваме с тестови домейни и когато сме удовлетворени, тогава ще преминем към публични домейни и ще продължим да разширяваме кръга на нещата, които тестваме.”


PIR, която председателства Индустриалната коалиция DNSSEC, подаде заявка през март в ICANN за регистриране на зоната в DNSSEC. Заявката бе одобрена през юни 2008. PIR се обърна за помощ към членовете на коалицията и освен това към други организации с вече регистрирани домейни, включително Швеция, която вече е преминала към DNSSEC.


„Сметнахме, че е важно да споделим плановете си за внедряване с други, които имат сходни интереси – казва Лорен Прайс, коалиционен председател. – Ние направихме това във възможно най-голям кръг, т.е. споделихме нашите насоки за реализация сред всички регистри- рани. Това е ъпгрейд на DNS, засягащ цялата индустрия. Важно бе да имаме ниво на последователност в начина на разгръщането му.” – Майкъл Мимозо


Етикети: Интернет , телекомуникации , маркетинг , сигурност , Microsoft , сървъри , Cisco , VoIP , софтуер , разработване , инфраструктура , PDF , .NET , МОН , игра , СЕК , Апис , НАП , БАН , компютър , сайт , IP , уеб сайт , технология , платформа , ATI , телефон , сървър , уеб , заплахи , BI , доставчици , телефони , архитектура , unix , алгоритми , ISO , стандарт , домейн , .com , телеком , файл , хардуер , криптиране , търг , проект , ГИС , работа , ИТ , C , ЗОП , Мрежата , ДСК , Internet , широколентов , скам , GIS , ИРМ , SQL , RFID , имейл , Крипто , чат , лична информация , защита , фишинг , IT , информация

Четете още:



Последни новини
Джони Деп се завръща на голям екран в емблематичната си ...
 
AOC представя най-бързият геймърски монитор с NVIDIA G-SYNC до момента. ...
 
Още един смартфон от богатото портфолио на Huawei вече е ...
 
Приложенията Word, Excel и Outlook вече могат да бъдат интегрирани ...



Най-четени