В зоне .NET введён протокол безопасности DNSSEC

На днях компания Verisign, которая является администратором крупнейших доменных зон верхнего уровня .com и .net, сообщила о внедрении протокола безопасности DNSSEC в зоне .net, в которой сейчас насчитывается около 13 млн. доменных имён.

“Успешное развертывание DNSsec должно вовлечь в этот процесс всю интернет-инфраструктуру – от регистраторов, до программистов и пользователей. Защита доменной системы – критически важный для современного мира вопрос, и следует подойти к нему с максимальной серьезностью”, – сказал Кен Силва, технический директор Verisign, который также сообщил, что полноценна поддержка протокола безопасности DNSSEC в зоне .COM будет реализована в первом квартале следующего года.

Напомним, что система адресации в интернете построена на использовании IP-адресов, представляющих собой уникальные цифровые комбинации. Но в своем интернет-обиходе люди используют более привычные символьные имена. Для преобразования символьных адресов в их цифровые аналоги как раз и предназначена система доменных имен DNS. DNS определяет, с каким именно сервером будет установлено соединение при наборе символьного имени. И со временем система DNS становится все более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные сервера и таким образом получают доступ к паролям, номерам кредитных карт и другой секретной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. Но уязвимым является сам протокол DNS, а не программы его реализующие. Для решения существующих проблем безопасности интернет-коммуникаций и был разработан новый протокол — адресная защита нового поколения DNSSEC.

Основная информация о домене – а именно, на сервере с каким цифровым IP-адресом искать ресурс с заданным символьным именем, — размещается на первичном DNS-сервере. Эта информация может быть искажена, если злоумышленник получит доступ к первичному серверу. Некоторые системы по протоколу динамических обновлений периодически обновляют информацию о соответствии своего имени своему IP-адресу, и злоумышленник может послать запрос на динамическое изменение информации о домене от имени системы-жертвы.

Первичный сервер периодически пересылает копию данных о домене вторичному DNS-серверу. При доступе к каналу связи между первичным и вторичным сервером злоумышленник может исказить информацию в пути. При доступе к файлам вторичного сервера информация может быть изменена и там, а первичный сервер после этого может быть выведен из строя, например, DОS-атакой.

Как правило, интернет-провайдеры имеют свои кэширующие сервера DNS, которые используются для обслуживания запросов клиентов провайдера. Именно адреса таких серверов обычно и выдаются пользователям в сетевых настройках как адреса DNS-серверов. Отравление кэширующего сервера (cache poison attack) — самый популярный вид атак на DNS. В результате атаки в кэше сервера провайдера или локальной сети компании сохраняется искаженная информация о соответствии IP-адреса соответствующему символьному имени, и пользователь по запросу также попадает на подставной сервер.

С кэширующими DNS-серверами «общаются» программы, находящиеся непосредственно на компьютерах пользователей, — резолверы. Искажение информации также возможно в процессе «общения» кэширующего DNS-сервера непосредственно с программой-резолвером.

Для осуществления всех этих действий не требуется специальных навыков и больших познаний в программировании, поэтому изменить информацию о домене под силу даже начинающим пользователям.

Самой распространенной практикой в интернете является подмена запрашиваемого сайта подставным с целью сбора секретной информации: паролей, номеров кредитных карт. Таким же образом злоумышленники могут читать вашу электронную переписку, перехватывать сообщения интернет-пейджеров, подслушивать телефонные разговоры (IP-телефония).

Отдельно стоит отметить возможность преднамеренного искажения информации: вместо запрашиваемого ресурса пользователь рискует получить в результате запроса ресурс с таким же web-интерфейсом, как и у запрашиваемого, только с искаженной информацией. Это могут быть, например, подделанные биржевые сводки или информация, порочащую честь и достоинство компании-владельца запрашиваемого ресурса.

Также отмечены частые случаи подстановки искаженной информации при обратном DNS-преобразования (backresolve) со стороны спамеров с целью обмануть настройки почтового сервера и заставить их принять спам.

В общем, DNS-атакам подвержена любое интернет-соединение, основанная на использовании символьных имен ресурсов. В этой ситуации не спасает ни защищенный web-протокол https, ни даже протокол безопасности SSL.