Chroń domenę przed Cache Poisoning
W ostatnich latach hakerzy opracowali metody infekowania serwerów DNS pozwalające na przekierowanie ruchu na ich serwery (phishing, etc.). Efekt ten uzyskują, fałszując odpowiedzi przekazywane przez serwery DNS. Aby zapobiec takim sytuacjom, oferujemy ochronę serwerów DNS za pomocą rozwiązania DNSSEC.
DNSSEC
- Bezpieczny DNS
- Ochrona przed Cache Poisoning
- Aktywacja w Panelu klienta
Przebieg ataku i ochrona za pomocą DNSSEC
Użytkownik wpisuje adres www.ovhcloud.pl w przeglądarce internetowej. Zapytanie jest wysyłane do serwera DNS, który zwraca adres IP: 213.186.33.34.
Przeglądarka internetowa zna teraz adres IP serwera, na którym hostowana jest strona www.ovhcloud.pl. Wysyła zatem zapytanie na ten adres, a adres zwraca zawartość strony.
Zagrożenie: Cache Poisoning
Haker wykrył lukę na serwerze DNS. Włamuje się na serwer i zmienia adres IP przypisany do www.ovhcloud.pl na IP jego własnego serwera: 203.0.113.78.
Gdy użytkownik wpisuje adres www.ovhcloud.pl, przeglądarka kieruje się do serwera DNS, aby pobrać odpowiedni adres IP. Zainfekowany DNS zwraca adres IP wprowadzony przez hakera: 203.0.113.78.
Przeglądarka używa tego adresu, aby otworzyć stronę. Tymczasem serwer hakera zwraca stronę przypominającą www.ovhcloud.pl, aby pozyskać dane osobowe (phishing).
Do czego służy DNSSEC?
DNSSEC gwarantuje autentyczność odpowiedzi DNS. Gdy przeglądarka wysyła zapytanie, otrzymuje odpowiedź z kluczem uwierzytelniającym, który potwierdza, że odesłany adres IP jest poprawny.
Kiedy użytkownik otrzymuje IP uwierzytelnione przez DNSSEC, zyskuje pewność, że wchodzi na poprawną stronę. Zadaniem DNSSEC jest wskazanie niespójności w zapytaniach.
Jeśli haker próbuje zmienić tabelę umieszczoną na serwerze DNS chronionym przez DNSSEC, DNSSEC odrzuca jego zapytania, ponieważ wysłana informacja nie jest podpisana.
Najczęściej zadawane pytania
Jak chronić serwer DNS?
Protokół DNSSEC używa zasad kryptografii asymetrycznej i podpisu cyfrowego, aby zagwarantować autentyczność danych. Wykorzystuje również dowód nieistnienia, jeśli żądany rekord nie istnieje i mógłby zostać uznany za fałszywy.
Do czego służy DNS?
Serwer DNS służy do uzyskania adresu IP odpowiadającego nazwie domeny (URL w przypadku strony WWW). Jest to zatem swojego rodzaju książka adresowa. Usługa DNS tłumaczy nazwy domen na adresy IP i inne typy rekordów. Adres IP jest niezbędny, aby przeglądarka mogła skontaktować się z serwerem WWW, na którym hostowana jest interesująca Cię strona. Adres IP jednoznacznie identyfikuje każdą maszynę podłączoną do Internetu, działa zatem podobnie jak numer telefonu. Jest to dyskretne, ale kluczowe ogniwo w łańcuchu bezpieczeństwa w Internecie. Najbardziej znanym przykładem serwera DNS jest serwer BIND.
Obecnie adresy IP są rejestrowane głównie w protokole IPv4, ale powoli rośnie również popularność protokołu IPv6. Każde powiązanie domeny z adresem IP jest unikalne.
Serwery DNS działają zgodnie z określoną hierarchią. Najwyższe miejsce w hierarchii zajmuje korzeń, czyli domena. W ramach domeny można następnie utworzyć kilka subdomen, które z kolei mogą same dokonywać delegacji subdomen na inne serwery. Delegacje tworzą strefy, które mają własny system hierarchiczny. Domeny znajdujące się tuż pod korzeniem to domeny najwyższego poziomu (TLD, z ang. Top Level Domain). Aktualizacje wykonywane są na serwerze głównym domeny. Transfer strefy polega na powieleniu rekordów serwera głównego za pomocą serwerów pomocniczych.
Na czym polega wyszukiwanie DNS?
Gdy host wyszukuje domenę, przechodzi w sposób iteracyjny przez całą hierarchię DNS aż do określonej domeny. Dostawca Internetu udostępnia klientom serwery rekurencyjne wykonujące tego typu wyszukiwania. Serwer rekurencyjny wyszukujący adres IP wysyła zapytanie do serwerów głównych. Spośród serwerów wybiera ten, który jest w stanie udzielić odpowiedzi. Jeśli dany serwer nie odpowiada, serwer rekurencyjny wybiera z listy inny serwer. W ten sposób może odpytać kilka serwerów, zanim odnajdzie właściwy.
Inną opcją jest wyszukiwanie odwrotne (Reverse DNS), czyli tłumaczenie adresu IP na nazwę domeny. Jest to możliwe dzięki rekordowi PTR. Wskazuje on, jakiej nazwie serwera hosta odpowiada adres danego serwera. Jeśli jest on podany, musi zawierać odwrotny rekord wpisu DNS A lub AAAA. Zapytania wysyłane przez serwery pocztowe (e-maile, etc.) nie mają rekordu PTR, istnieje zatem większe prawdopodobieństwo, że nie uzyskają odpowiedzi.
Jakie są najczęściej spotykane rodzaje rekordów DNS?
Oprócz rekordów AAAA czy PTR, zazwyczaj mamy do czynienia z rekordem SOA (Start Of Authority record), który dostarcza informacji o strefie: serwer główny, e-mail kontaktowy, różne okresy ważności, w tym data wygaśnięcia, numer seryjny strefy, etc. Jest to swego rodzaju dowód tożsamości serwera DNS. Rekord ten zawiera numer seryjny, który zwiększa się za każdym razem, gdy plik strefy jest modyfikowany.
Możemy spotkać również rekord TXT, który pozwala administratorowi na tworzenie tekstu w rekordzie DNS. Każdy rodzaj rekordu ma określony czas życia (TTL, z ang. Time to Live), który określa, jak długo dany rekord może być przechowywany na serwerze cache. W tym miejscu może dojść do ataku polegającego na zatruciu pamięci podręcznej DNS (DNS Cache Poisoning).
Co to jest Cache Poisoning?
Cache Poisoning, inaczej zatrucie pamięci podręcznej DNS, to technika hakerska mająca na celu przesłanie do serwera DNS fałszywej odpowiedzi na zapytanie, którą serwer uznaje za odpowiedź autentyczną i prawidłową. Zainfekowany w ten sposób serwer DNS przechowuje informacje w pamięci cache. Użytkownicy zostają przekierowani do fałszywych stron, które mogą posłużyć do wyłudzenia danych lub jako kanał do zainstalowania wirusa.
Zazwyczaj haker wykorzystuje lukę w serwerze DNS, który akceptuje nieprecyzyjne lub fałszywe zapytania. Ofiary ataku spodziewają się dostępu do poszukiwanych przez siebie treści, tymczasem trafiają na strony z treściami niebezpiecznymi.
Serwer DNS pracuje zwykle na porcie 53. Maksymalny rozmiar odpowiedzi powinien wynosić 512 bajtów. Jeśli rozmiar ten zostanie przekroczony, zapytanie zostanie odesłane do TCP 53. Tego typu przekierowanie jest rzadkie, ponieważ dostawcy usług hostingowych ograniczają możliwość przenoszenia strefy DNS w ten sposób.
Jak skonfigurować strefę DNSSEC dla domeny hostowanej w OVHcloud?
Instrukcje dotyczące włączenia DNSSEC są dostępne w przewodnikach:
Modyfikacja strefy DNS
Konfiguracja serwera DNS