DNS, запертая на ключ Александр ВЕНЕДЮХИН, RU-CENTER. - презентация

1 DNS, запертая на ключ Александр ВЕНЕДЮХИН, RU-CENTER.

2 О ЧЁМ РЕЧЬ ПОЙДЁТ 1. Основы DNS; 2. Цели злоумышленников; 3. Доверие. Примеры уязвимостей; 4. DNSSEC; 5. Новые проблемы на горизонте. Mmt200

3 Компьютер пользователя Резолвер DNS-сервер провайдера google.com? NS1 NS NS... Кеширование DNS ОСНОВЫ

4 Кеширующий сервер провайдера Корневой сервер Имён '.' Сервер имён.RU. Сервер имён.NIC.RU. = ОСНОВЫ

5 DNS один из фундаментальных элементов Сети. Web, ... основа адресации для пользователей год создания DNS DNS это сервис, распределённая система поиска адресов ВСЁ РАБОТАЕТ НА ДОВЕРИИ! 26

6 ЦЕЛИ ЗЛОУМЫШЛЕННИКОВ takomabibelo t * Перенаправление пользователей; * Вторжение в корпоративные сети; * Сокрытие следов; * Распространение зловредов; * Управление ботнетами. Зачем им DNS? DNS удобная штука: * «Всеобщая» технология; * Не фильтруется, не блокируется; * Игнорируется админами; * «Компактная», в смысле передаваемых данных.

7 ПРИМЕРЫ «Отравление кеша» Запрос Ответ Плохо удостоверяется источник ответа Кеширующий сервер Фундаментальные «дыры» DNS используются во вред evildomain.tld. IN A Подмена IP-адреса «легитимного» NS; Подмена имени авторитативного NS; Ответы о чужих доменах: Предсказуемые «метки» Amit Klein, Dan Kaminsky... UDP + tr. ID (100,101, ?)

8 ПРИМЕРЫ Цели отравления кеша Пользователи заманиваются на подставные серверы; Похищаются «банковские пароли»; Рассаживаются зловреды; Проводятся многоступенчатые атаки на другие ресурсы;...и т.п., и т.д., В 2008 году опубликован способ генерации валидных поддельных SSL-сертификатов БОНУС: Изготовление поддельных сертификатов было возможно и многим ранее

9 ПРИМЕРЫ «Fast Flux» DNS, ZONE A n.n.n.n A n Машина IP-1 Машина IP-2 Машина IP-3 Машина IP-4 Машина IP-5... Машина IP-n TTL

10 by Roomic Cube ПРИМЕРЫ Для чего fast flux? «Абузоустойчивый» хостинг; Сокрытие следов; Преодоление фильтров. Fast flux не «криминален» сам по себе: Используется для распределения нагрузки; Годится на роль инструмента защиты «добропорядочных, но проблемных» веб-сайтов.

11 ПРИМЕРЫ «DNS rebinding» Штатная работа DNS + дефекты политик безопасности в браузерах и другом ПО Замена адреса NS-ом при повторном обращении 1. Запрос: tram-pam.evildomain.tld? Ответ: IP сервера-источника (TTL=1s); 2. Загрузка веб-страницы с «активным содержимым» в браузер; 3. Запрос: tram-pam.evildomain.tld? Ответ: IP машины внутренней сети. Javascript (XMLHttpRequest), Flash, Java были уязвимы Ограничение запросов по имени хоста-источника связано с DNS

12 ПРИМЕРЫ «DNS rebinding» Корпоративная сетьИнтернет Атакующая система Экран Цели: Атаки на машины и сервисы внутри корпоративной сети; «Угон» IP-адреса; «Локальные» атаки с использованием уязвимостей; Извлечение документов из интранет; DDoS-атаки на «внешние» системы, «скликивание» рекламы и т.п., и т.д.

13 Компьютер пользователя Резолвер DNS-сервер провайдера google.com? DNS Кэширование «Уязвимые места» Цель: «перенаправление» сеанса НАПРАВЛЕНИЯ

14 ПОЛОЖЕНИЕ ПОЛЬЗОВАТЕЛЕЙ «Потребители» данных DNS не имеют возможности проверить подлинность адресной информации

15 РЕШЕНИЯ Требуется механизм «заверения» и проверки подлинности данных Системы ЭЦП - решение Секретный ключ Открытый ключ Подпись Данные Результат валидации Подпись Данные Криптография с открытым ключом: * Давно известный и проверенный механизм; * Помогает решать задачи удостоверения источника; * Уже работает в смежных областях (SSL).

16 ПРИНЦИПЫ РАБОТЫ Запрос DNS: « Ответ «извне»: « = » Подписано: 2eaF37Bd2012 Проверка: «адресные данные» + Подпись + открытый ключ google.com Настоящий адрес? DNSSEC

17 Достижения: Появляется инструмент проверки подлинности полученной информации; Инструмент доступен всем заинтересованным сторонам. СМЫСЛ: Доверие всё равно остаётся в основе! Однако появляется инфраструктура по управлению доверием!

18 РЕШЕНИЯ Большой апгрейд: by fdecomite By Hugo90 Требуется новое серверное ПО (доп. библиотеки). Требуется новое клиентское ПО, а также обновления для «сопутствующих» инструментов

19 DNSSEC БЫЛО: Доверяю всем подряд. СТАЛО: Сам решаю, кому доверять. МЕТАФИЗИКА Но есть тонкости...

20 DNSSEC «Хакер посередине» Клиент Авторитативный сервер Цепочка связи Клиент Авторитативный сервер Злоумышленник, с собственными «настоящими» ключами и подписями Что делать? Адрес, подпись, ключ Клиент не знает, с кем обменивается информацией!

21 РЕШЕНИЯ Ключи удостоверяет третья сторона «Удостоверяющий центр» Клиент (персональный компьютер) DNS-сервер «Центр доверия» Иерархия доверия

22 ОПЯТЬ МЕТАФИЗИКА Подписи удостоверяет третья сторона Иерархия доверия Требуется «главный ключ» (Встроенный в ОС?) Кому он достанется? Кто подпишет корневую зону? Главный «ключник»: - от ключит любого администратора зоны; - жёстко контролирует изменения адресации. ICANN, VeriSign организации США. Как быть с национальными сегментами? Как быть с операционными системами в эпоху «переноса деятельности в Web» ?

23 РЕШЕНИЯ Что же мы побороли с DNSSEC? Отравление кеша Fast flux DNS rebinding - ДА! - НЕТ! - НЕТ и НЕТ! ОГРОМНЫЙ плюс: DNSSEC устраняет фундаментальный дефект DNS отсутствие механизма управления доверием и проверки подлинности сведений. Проблемы иной природы

24 ПЕРСПЕКТИВЫ DNSSEC несёт многие новые проблемы: Увеличение трафика; (адреса+ключ+подпись) Повышенные требования к вычислительной мощности; (криптографические вычисления сложные, на много сложнее транзакций) DoS-атаки на серверы и на клиентов; (дефектные «ответы» - требуют сложных проверок) Новые «дыры», пока неизвестные. (логика работы усложняется многократно; в OpenSSL уже обнаружили логический дефект)

25 ПЕРСПЕКТИВЫ Новые способы использования DNS: Домен TEL контактная информация в записях NAPTR. Новые приложения, обрабатывающие данные из DNS (книги контактов и т.п.). Новые приложения новые уязвимости в клиентских системах. DNS получает минимум внимания от системных администраторов. ВСЁ МЕНЯЕТСЯ УЯЗВИМОСТИ ПОЯВЛЯЮТСЯ

26 ВОПРОСЫ?