Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

DNS zagrożenia i bezpieczeństwo

05-12-2017 Autor: Piotr Topolski

Współczesny internet opiera się na usłudze, z której korzystanie jest tak powszechne i naturalne, że rzadko poświęca się jej uwagę. Za każdym razem jednak, kiedy podaje się adres strony internetowej lub e-maila, korzysta się z usługi DNS (ang. Domain Name System), czyli z tzw. systemu nazw domenowych.

 

W niniejszym artykule przybliżymy najważniejsze kwestie związane z tą usługą z punktu widzenia bezpieczeństwa informacji. Bez usługi DNS korzystanie z sieci byłoby ekstremalnie trudne lub wręcz niemożliwe, ponieważ dzięki niej realizowane są dwie ważne usługi. Pierwsza to tłumaczenie nazw mnemonicznych np. www.abi-expert.pl na adres IP 86.111.247.173. Druga to rejestracja nazw domen nowych usług internetowych.

Historia i budowa DNS

Idea DNS-u została wdrożona w latach 80. XX wieku. Jego początkowa budowa nie regulowała kwestii bezpieczeństwa, ponieważ nikt wtedy nie przewidywał tak dużego rozwoju internetu, e-usług oraz zagrożeń, jakie niesie za sobą powszechność i postęp. Pierwsze luki dostrzeżono już w 1990 r. Zaś w 2004 r. wprowadzono rozszerzenie DNSSEC (ang. DNS Security Extensions) i TSIG (ang. Transaction SIGnature).
 
DNSSEC zapewnia autoryzację serwerów DNS, natomiast TSIG to mechanizm zabezpieczenia kryptograficznego transakcji transferu stref. Ze względu na rolę serwery DNS można podzielić na kilka rodzajów:


1. Serwery autorytatywne (serwery podstawowe główne) są wykorzystywane jako punkty aktualizacji tzw. strefy. Strefa to plik, w którym definiuje się nazwy i adresy IP dostępnych serwerów lub usług sieciowych. Tylko serwery główne posiadają funkcjonalność, dzięki której możliwe jest dodawanie, usuwanie i modyfikowanie rekordów opisujących dostępne urządzenia sieciowe w danej strefie. Oznacza to, że w całym światowym systemie DNS istnieje zawsze tylko jeden serwer główny, na którym możemy definiować nazwy internetowe dla danej strefy. Serwery te są pierwszymi źródłami do replikowania danych do innych serwerów DNS.

2. Następnym typem serwerów są zapasowe serwery główne, na które replikuje się wspomniane już serwery główne podstawowe. Ich cechą charakterystyczną jest brak możliwości bezpośredniego aktualizowania rekordów bazy DNS.


3. Pozostałą grupę stanowią serwery nieautorytatywne. Ich zadanie sprowadza się do gromadzenia danych uzyskanych w formie odpowiedzi z innych serwerów oraz przesyłania dalej zapytań w celu odnalezienia właściwego adresu.

Użytkownicy bardzo często zapominają o istnieniu DNS-u, ponieważ usługa ta najczęściej dostarczana jest przez dostawcę internetu. Natomiast dla osób zajmujących się bezpieczeństwem danych nadzór nad nią powinien być kluczowy, ponieważ z jednej strony pozostawiona sama sobie stwarza zagrożenie przejęcia kontroli nad ruchem sieciowym i grozi utratą kontroli nad przepływem informacji bez względu na to, czy połączenie jest szyfrowane czy nie.

Z drugiej strony dobrze zaprojektowany i skonfigurowany system DNS zapewnia lepszą ochronę własnej infrastruktury IT.

Ochrona przed atakami

W jaki sposób można chronić się przed takimi atakami? Najbardziej radykalnym, ale skutecznym sposobem jest zrezygnowanie z serwera DNS i zastosowanie ręcznie zdefiniowanego pliku hosts, w którym wskazuje się pary nazw i adresów IP. Takie rozwiązanie nadaje się do zastosowania jedynie w przypadku, gdy użytkownicy powinni łączyć się tylko z niewielką liczbą serwerów i nie mogą mieć dostępu do szeroko pojętego internetu.
Natomiast w sytuacji, w której posiadana infrastruktura IT ma realizować usługi DNS oparte na własnych serwerach, to (chcąc się uchronić przed wspomnianymi zagrożeniami) można po pierwsze wyłączyć na nich stosowanie pamięci podręcznej. Takie działanie oczywiście wpłynie negatywnie na wydajność, dlatego, jeśli to możliwe, należy to uwzględnić przy projektowaniu architektury sprzętowej. Po drugie, można zastosować wspomniany już protokół DNSSEC. Jego działanie opiera się na podpisie cyfrowym każdej autorytatywnej informacji, czyli takiej, która jest umieszczona na serwerze głównym.

Podpis ten jest przechowywany w rekordzie o nazwie RRSIG (ang. Resource Record Signature).


Weryfikacja następuje poprzez zestaw kluczy publicznych zapisanych w rekordzie o nazwie DNSKEY. Rekord ten zawiera dwa typy kluczy:

  • ZSK (ang. Zone Signing Key) podpisuje wszystkie autorytatywne rekordy w strefie;
  • KSK (ang. Key Signing Key), który podpisuje tylko zestaw kluczy.

[...]

Autor jest administratorem bezpieczeństwa informacji UŁ.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.