DNS, запертая на ключ Александр ВЕНЕДЮХИН, RU-CENTER.
О ЧЁМ РЕЧЬ ПОЙДЁТ 1. Основы DNS; 2. Цели злоумышленников; 3. Доверие. Примеры уязвимостей; 4. DNSSEC; 5. Новые проблемы на горизонте. Mmt200
Компьютер пользователя Резолвер DNS-сервер провайдера google.com? NS1 NS NS... Кеширование DNS ОСНОВЫ
Кеширующий сервер провайдера Корневой сервер Имён '.' Сервер имён.RU. Сервер имён.NIC.RU. = ОСНОВЫ
DNS один из фундаментальных элементов Сети. Web, ... основа адресации для пользователей год создания DNS DNS это сервис, распределённая система поиска адресов ВСЁ РАБОТАЕТ НА ДОВЕРИИ! 26
ЦЕЛИ ЗЛОУМЫШЛЕННИКОВ takomabibelo t * Перенаправление пользователей; * Вторжение в корпоративные сети; * Сокрытие следов; * Распространение зловредов; * Управление ботнетами. Зачем им DNS? DNS удобная штука: * «Всеобщая» технология; * Не фильтруется, не блокируется; * Игнорируется админами; * «Компактная», в смысле передаваемых данных.
ПРИМЕРЫ «Отравление кеша» Запрос Ответ Плохо удостоверяется источник ответа Кеширующий сервер Фундаментальные «дыры» DNS используются во вред evildomain.tld. IN A Подмена IP-адреса «легитимного» NS; Подмена имени авторитативного NS; Ответы о чужих доменах: Предсказуемые «метки» Amit Klein, Dan Kaminsky... UDP + tr. ID (100,101, ?)
ПРИМЕРЫ Цели отравления кеша Пользователи заманиваются на подставные серверы; Похищаются «банковские пароли»; Рассаживаются зловреды; Проводятся многоступенчатые атаки на другие ресурсы;...и т.п., и т.д., В 2008 году опубликован способ генерации валидных поддельных SSL-сертификатов БОНУС: Изготовление поддельных сертификатов было возможно и многим ранее
ПРИМЕРЫ «Fast Flux» DNS, ZONE A n.n.n.n A n Машина IP-1 Машина IP-2 Машина IP-3 Машина IP-4 Машина IP-5... Машина IP-n TTL
by Roomic Cube ПРИМЕРЫ Для чего fast flux? «Абузоустойчивый» хостинг; Сокрытие следов; Преодоление фильтров. Fast flux не «криминален» сам по себе: Используется для распределения нагрузки; Годится на роль инструмента защиты «добропорядочных, но проблемных» веб-сайтов.
ПРИМЕРЫ «DNS rebinding» Штатная работа DNS + дефекты политик безопасности в браузерах и другом ПО Замена адреса NS-ом при повторном обращении 1. Запрос: tram-pam.evildomain.tld? Ответ: IP сервера-источника (TTL=1s); 2. Загрузка веб-страницы с «активным содержимым» в браузер; 3. Запрос: tram-pam.evildomain.tld? Ответ: IP машины внутренней сети. Javascript (XMLHttpRequest), Flash, Java были уязвимы Ограничение запросов по имени хоста-источника связано с DNS
ПРИМЕРЫ «DNS rebinding» Корпоративная сетьИнтернет Атакующая система Экран Цели: Атаки на машины и сервисы внутри корпоративной сети; «Угон» IP-адреса; «Локальные» атаки с использованием уязвимостей; Извлечение документов из интранет; DDoS-атаки на «внешние» системы, «скликивание» рекламы и т.п., и т.д.
Компьютер пользователя Резолвер DNS-сервер провайдера google.com? DNS Кэширование «Уязвимые места» Цель: «перенаправление» сеанса НАПРАВЛЕНИЯ
ПОЛОЖЕНИЕ ПОЛЬЗОВАТЕЛЕЙ «Потребители» данных DNS не имеют возможности проверить подлинность адресной информации
РЕШЕНИЯ Требуется механизм «заверения» и проверки подлинности данных Системы ЭЦП - решение Секретный ключ Открытый ключ Подпись Данные Результат валидации Подпись Данные Криптография с открытым ключом: * Давно известный и проверенный механизм; * Помогает решать задачи удостоверения источника; * Уже работает в смежных областях (SSL).
ПРИНЦИПЫ РАБОТЫ Запрос DNS: « Ответ «извне»: « = » Подписано: 2eaF37Bd2012 Проверка: «адресные данные» + Подпись + открытый ключ google.com Настоящий адрес? DNSSEC
Достижения: Появляется инструмент проверки подлинности полученной информации; Инструмент доступен всем заинтересованным сторонам. СМЫСЛ: Доверие всё равно остаётся в основе! Однако появляется инфраструктура по управлению доверием!
РЕШЕНИЯ Большой апгрейд: by fdecomite By Hugo90 Требуется новое серверное ПО (доп. библиотеки). Требуется новое клиентское ПО, а также обновления для «сопутствующих» инструментов
DNSSEC БЫЛО: Доверяю всем подряд. СТАЛО: Сам решаю, кому доверять. МЕТАФИЗИКА Но есть тонкости...
DNSSEC «Хакер посередине» Клиент Авторитативный сервер Цепочка связи Клиент Авторитативный сервер Злоумышленник, с собственными «настоящими» ключами и подписями Что делать? Адрес, подпись, ключ Клиент не знает, с кем обменивается информацией!
РЕШЕНИЯ Ключи удостоверяет третья сторона «Удостоверяющий центр» Клиент (персональный компьютер) DNS-сервер «Центр доверия» Иерархия доверия
ОПЯТЬ МЕТАФИЗИКА Подписи удостоверяет третья сторона Иерархия доверия Требуется «главный ключ» (Встроенный в ОС?) Кому он достанется? Кто подпишет корневую зону? Главный «ключник»: - от ключит любого администратора зоны; - жёстко контролирует изменения адресации. ICANN, VeriSign организации США. Как быть с национальными сегментами? Как быть с операционными системами в эпоху «переноса деятельности в Web» ?
РЕШЕНИЯ Что же мы побороли с DNSSEC? Отравление кеша Fast flux DNS rebinding - ДА! - НЕТ! - НЕТ и НЕТ! ОГРОМНЫЙ плюс: DNSSEC устраняет фундаментальный дефект DNS отсутствие механизма управления доверием и проверки подлинности сведений. Проблемы иной природы
ПЕРСПЕКТИВЫ DNSSEC несёт многие новые проблемы: Увеличение трафика; (адреса+ключ+подпись) Повышенные требования к вычислительной мощности; (криптографические вычисления сложные, на много сложнее транзакций) DoS-атаки на серверы и на клиентов; (дефектные «ответы» - требуют сложных проверок) Новые «дыры», пока неизвестные. (логика работы усложняется многократно; в OpenSSL уже обнаружили логический дефект)
ПЕРСПЕКТИВЫ Новые способы использования DNS: Домен TEL контактная информация в записях NAPTR. Новые приложения, обрабатывающие данные из DNS (книги контактов и т.п.). Новые приложения новые уязвимости в клиентских системах. DNS получает минимум внимания от системных администраторов. ВСЁ МЕНЯЕТСЯ УЯЗВИМОСТИ ПОЯВЛЯЮТСЯ
ВОПРОСЫ?