DNS систем и безбедност

DNS систем и безбедност

Жарко Кецић

Математички факултет / октобар 2015. Београд

Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић

DNS и безбедност!?

Чему брига око DNS-а?DNS је веома моћан, свеприсутан и углавном игнорисан.

ТО ЈЕ ВЕОМА ОПАСНА КОМБИНАЦИЈА!


DNS је често занемарен!

DNS углавном није у фокусу, када су у питању инвестиције, а често ни када је у питању одржавање сервиса.

Када говоримо о DNS систему, многи користе:• старе верзије софтвера,• стару опрему,• низак ниво редундантности,• никакве или алате ниске оперативне вредности за праћење

рада DNS-а,• неадекватне (неискусне) DNS администраторе.

DNS није „cool“!


Практично, све апликације се ослањају на DNS и-мејл WWW Peer to peer апликације Instant messaging Voice over IP, итд…Практично, све апликације на Интернету зависе од DNS-а. То DNS сервис ставља у потпуно различиту категорију у односу на остале Интернет сервисе. Ако, на пример, и-мејл не ради, све остало ће радити, али ако DNS стане скоро све остало ће стати.

DNS је једна од кључних технологија без које Интернет не би функционисао!


Ако контролишем ваш DNS…

… могу да контролишем ваш свет.

Користите online banking? Тргујете на eBay-у? Шаљете и примате важне и-мејл поруке? Ако неко контролише ваш DNS може вас преусмерити где год жели.Већина корисника не разуме DNS, пре свега, јер им није ни потребно да разумеју како ради да би користили Интернет. DNS једноставно функционише!Баш зато што DNS „једноставно функционише“, нико му не посвећује потребну пажњу и веома мало се говори о чињеници да DNS може веома лако да буде искоришћен за злонамерне активности.Због тога су нам потребни ИТ професионалци – ВИ! – да за своје кориснике, и све кориснике Интернета, воде рачуна о DNS-у.


Карактеристике DNS-а

Да буде увек доступан – ако DNS није доступан, за његове кориснике Интернет је „пао“ (или, ако је сервер ауторитативан за зону, та зона није доступна осталим корисницима)

Да буде поуздан – ако DNS враћа нетачне вредности корисници могу бити преусмерени на интернет локацију где ће његови поверљиви подаци бити компромитовани, или на локацију која може да „зарази“ компјутер

Да буду брзи – учитавање једне веб стране може да захтева десетине, па и стотине DNS упита (како би се осећали када би одговор на сваки упит чекали само секунду?)

Да буду прилагодљиви и флексибилни – постоје различите намене и потребе корисника

Да буде проширив – има много ствари које DNS може да обавља, још увек не знамо шта је то, али треба оставити могућност да се DNS развија

Хајде да видимо како DNS функционише!


Када сам био мали желео сам да будем DNS администратор!

• Бити DNS администратор није баш престижан посао (мали број деце тежи да буде DNS администратор – већина њих жели да буде маркетинг менаџер )

• Код нас, а и у свету, нема скупова чија је тематика искључиво развој и оперативна пракса везана за DNS. Једини изузетак је ISC-ов DNS-OARC (https://www.dns-oarc.net/)

• Стога је DNS оперативно критичан, а истовремено небитан, до тачке када је за већину нејасан и непознат.

Колико пажње посвећујете својим DNS серверима?


DNS систем

Основни задатак DNS система је мапирање назива домена у IP адресу: www.rnids.rs =

87.237.205.199 Као и многа друга мапирања

(и-мејл сервер (MX), IPv6 (AAAA), инверзно мапирање…)

DNS је хијерархијски организован Свака зона има

ауторитативну DNS структуру и садржи локалне податке.

Root

срб rs com

rnidsпр ciscoac

ni bg


Како ради DNS

Caching DNS сервер

Корисник

Root DNS сервер

DNS упити се разрешавају у неколико корака – од хијерархијски виших нивоа ка нижим.

rs DNS сервер

rnids.rs DNS сервер

www.rnids.rs A?

www.rnids.rs A 87.237.205.199


Ланац DNS одговора;; global options: printcmd. 16730 IN NS a.root-servers.net.. 16730 IN NS l.root-servers.net.. 16730 IN NS h.root-servers.net.. 16730 IN NS b.root-servers.net.. 16730 IN NS k.root-servers.net.. 16730 IN NS f.root-servers.net.. 16730 IN NS c.root-servers.net. …;; Received 228 bytes from 82.117.194.2#53(82.117.194.2) in 12 ms

rs. 172800 IN NS l.nic.rs.rs. 172800 IN NS k.nic.rs.rs. 172800 IN NS h.nic.rs. rs. 172800 IN NS g.nic.rs.rs. 172800 IN NS f.nic.rs.rs. 172800 IN NS d.nic.rs.rs. 172800 IN NS b.nic.rs.rs. 172800 IN NS a.nic.rs.;; Received 460 bytes from 198.41.0.4#53(a.root-servers.net) in 18 ms

rnids.rs. 3600 IN NS ns1.nic.rs.rnids.rs. 3600 IN NS ns2.rnids.rs.rnids.rs. 3600 IN NS odisej.telekom.rs.rnids.rs. 3600 IN NS ns1.rnids.rs.;; Received 221 bytes from 194.146.106.114#53(l.nic.rs) in 0 ms

www.rnids.rs. 3600 IN CNAME web-server.rnids.rs.web-server.rnids.rs. 3600 IN A 87.237.205.199rnids.rs. 3600 IN NS ns1.nic.rs.rnids.rs. 3600 IN NS odisej.telekom.rs.rnids.rs. 3600 IN NS ns1.rnids.rs.rnids.rs. 3600 IN NS ns2.rnids.rs.;; Received 262 bytes from 147.91.8.6#53(ns1.nic.rs) in 14 ms


Слабости DNS-а

DNS је дизајниран да подаци буду доступни• DNS подаци се реплицирају на више сервера• DNS зона „ради“ ако је и само један сервер доступан.

DDoS напад на root зону мора да онеспособи 13 root сервера.

DNS не укључује проверу валидности података • Било који DNS одговор се прихвата• Нема начина да ресолвер разликује исправне од

неисправних одговора

Само један root сервер са невалидним подацима може да поремети читав Интернет.


Лоши момци знају слабе тачке DNS сервисаЗбог својих слабости DNS сервис представља сталну мету злонамерних корисника Интернета. Циљеви нападача могу бити различити, од политичких и верских до материјалних, или једноставно деструктивних. Напади могу бити изведени на различите начине:

• Man in the middle – пресретање и измена DNS пакета.• Cache poisoning – када се погрешне информације убацују у DNS

податке које многи сервери чувају у локалној бази.• Malware – деструктивни програми који могу да измене host фајл

или податке о DNS серверима.• DoS, DDoS и rDDoS напади – DNS представља једну од

најкоришћенијих технологија за спровођење напада на друге системе (botnet command and control)


Може ли одговор да изгледа овако?


Корисник


У ствари www.rnids.rs = 87.237.205.199

rs DNS сервер

rnids.rs DNS сервер

www.rnids.rs A?www.rnids.rs

A 68.178.242.1

11


Једноставан MITM напад


Корисник

www.rnids.rs A?

www.rnids.rs A 87.237.205.199


rs DNS сервер

ac.rs DNS сервер(…)

Први одговор који стигне „побеђује“, сви стали су одбачени!

www.rnids.rs A

68.178.242.111


Комплекснији напад Cache poisoning

Сви корисници „зараженог“ DNS сервера добијају погрешан одговор!

Вероватноћа=1−(1− 1𝑡 )𝑛 (𝑛−1 )2


Distributed Denial of Service (DDoS) напад

Крајем марта 2013. цео Интернет је успорио!?

Крајем марта, светом је прострујала вест да је на anti-spam провајдера Spamhaus извршен највећи DDoS (Distributed Denial of Service) напад у историји Интернета. За напад је оптужен холандски хостинг провајдер Cyberbunker чији су сервери за слање електронске поште претходно стављени на црну листу од стране Spamhausa. Како је могуће да један хостинг провајдер генерише саобраћај од 400Gb/s?

Пре објашњења, морамо да попричамо о специфичној техничкој рањивости DNS система.


TCP и UDP саобраћај

TCP саобраћај је повезан са стабилном двосмерном везом (као што су ssh сесије, веб саобраћај, и-мејл, итд.), и има велики број карактеристика које су пожељне, гледано из угла програмера мрежних апликација – понављање (ретрансмисија) изгубљених или оштећених пакета, контрола загушења, итд.

UDP саобраћај је дизајниран за апликације које не захтевају стабилну двосмерну везу – „пошаљи и заборави“ („send-it-and-forget-it“). DNS, NFS, и IP видео саобраћај најчешће користе UDP.

За разлику од потпуно успостављене TCP везе (након размене низа порука) UDP саобраћај може бити креиран са било које IP адресе – укључујући и IP адресе које немају никакве везе са стварним пошиљаоцем поруке.

Саобраћај који је намерно креиран са лажном IP адресом је „spoofed“. (Користи се и код TCP SYN напада)


Употреба лажне (spoofed) адресе

Ако не размишљате као нападач нећете одмах схватити зашто би ико користио лажну адресу. Има неколико разлога:

Жели да остане анониман Жели да његов систем остане што дуже неблокиран Жели да саобраћај усмери ка рачунару жртве

IP = 1.2.3.4

IP = 1.2.3.4

IP = 151.62.74.83151.62.74.83

IP = 151.62.74.83

1.2.3.420b/q q x 200


DDoS напад

„Botnet“ или мрежа зомбија je велики број рачунара на Интернету којису заражени злонамерним програмом који контролише нападач.

Власници тих рачунара нису свесни да нападач користи њихове ресурсе за напад на рачунар/систем жртве.


rDDoS – рефлекторски (амплифицирани) DDoS напад

DNS сервери су најчешће коришћени„рефлектори“ за реализацију rDDoSнапада.

Одговор DNS сервераможе бити 200 до 300пута већи од величинеDNS упита.

За напад на Spamhausупотребљен је botnet и „отворени“DNS ресолвери широм света. Процењује се да у свету има више од 20 милиона лоше конфигурисаних DNSсервера.


Како се одбранити

Редовно проверавати ДНС рекорде у родитељској зони

Забранити саобраћај адресама које нису део вашег система (SAV –Source Address Validation)

Редовно ажурирање софтвера (инсталација нових верзија DNS сервера и надградњи)

Разрешавање DNS упита само за кориснике вашег система Активирати „Response Rate Limiting“ (RRL) на ауторитативним

серверима који одговоре пружају свима DNSSEC!!!

РНИДС би ускоро требало да потпише обе TLD зоне и све зоне другог нивоа које су у његовој надлежности.


Хвала на пажњи

Жарко Кецић[email protected]

rnids.rsрнидс.срб

domen.rsдомен.срб

Technology

DNS систем и безбедност