Índice:
Em abril, um hacker holandês foi preso pelo que está sendo chamado de maior ataque de negação de serviço distribuído já visto. O ataque foi cometido na Spamhaus, uma organização anti-spam, e de acordo com a ENISA, a agência de segurança de TI da União Europeia, a carga na infraestrutura da Spamhaus atingiu 300 gigabits por segundo, três vezes o recorde anterior. Também causou grande congestionamento da Internet e congestionou a infraestrutura da Internet em todo o mundo.
Obviamente, ataques de DNS dificilmente são raros. Mas enquanto o hacker no caso Spamhaus pretendia apenas prejudicar seu alvo, as ramificações maiores do ataque também apontaram para o que muitos chamam de uma falha importante na infraestrutura da Internet: o Sistema de Nomes de Domínio. Como resultado, ataques recentes à infra-estrutura de DNS principal deixaram técnicos e empresários lutando por soluções. E você? É importante saber quais opções você tem para reforçar a infraestrutura de DNS da sua empresa e como os servidores raiz do DNS operam. Então, vamos dar uma olhada em alguns dos problemas e o que as empresas podem fazer para se proteger. (Saiba mais sobre o DNS no DNS: um protocolo para governar todos eles.)
Infraestrutura existente
O DNS (Sistema de Nomes de Domínio) é de uma época em que a Internet esqueceu. Mas isso não torna as notícias antigas. Com a constante ameaça dos ataques cibernéticos, o DNS tem sido alvo de um exame minucioso ao longo dos anos. Na sua infância, o DNS não ofereceu formas de autenticação para verificar a identidade de um remetente ou receptor de consultas DNS.
De fato, há muitos anos, os servidores de nomes muito básicos, ou servidores raiz, estão sujeitos a ataques extensos e variados. Atualmente, eles são geograficamente diversos e operados por diferentes tipos de instituições, incluindo órgãos governamentais, entidades comerciais e universidades, para manter sua integridade.
De maneira alarmante, alguns ataques foram bem-sucedidos no passado. Um ataque incapacitante à infraestrutura do servidor raiz, por exemplo, ocorreu em 2002 (leia um relatório sobre isso aqui). Embora não tenha causado um impacto perceptível para a maioria dos usuários da Internet, atraiu a atenção do FBI e do Departamento de Segurança Interna dos EUA porque era altamente profissional e altamente direcionado, afetando nove dos 13 servidores raiz operacionais. Se persistissem por mais de uma hora, dizem os especialistas, os resultados poderiam ter sido catastróficos, tornando inúteis os elementos da infraestrutura de DNS da Internet.
Derrotar uma parte tão integral da infraestrutura da Internet daria a um invasor bem-sucedido uma grande quantidade de poder. Como resultado, desde então, tempo e investimento significativos foram aplicados à questão de proteger a infraestrutura do servidor raiz. (Você pode conferir um mapa mostrando os servidores raiz e seus serviços aqui.)
Protegendo o DNS
Além da infraestrutura principal, é igualmente importante considerar o quão robusta a infraestrutura DNS da sua empresa pode ser contra ataques e falhas. É comum, por exemplo (e declarado em algumas RFCs), que os servidores de nomes residam em sub-redes ou redes totalmente diferentes. Em outras palavras, se o ISP A tiver uma interrupção total e o servidor de nomes principal ficar offline, o ISP B ainda estará servindo seus principais dados DNS para qualquer pessoa que solicitar.
As extensões de segurança do sistema de nomes de domínio (DNSSEC) são uma das maneiras mais populares pelas quais as empresas podem proteger sua própria infraestrutura de servidor de nomes. Estes são um complemento para garantir que a máquina que está se conectando aos seus servidores de nomes seja o que diz. O DNSSEC também permite autenticação para identificar de onde vêm as solicitações, além de verificar se os dados em si não foram alterados no caminho. No entanto, devido à natureza pública do Sistema de Nomes de Domínio, a criptografia usada não garante a confidencialidade dos dados, nem possui qualquer conceito de sua disponibilidade caso partes da infraestrutura sofram uma falha de alguma descrição.
Vários registros de configuração são usados para fornecer esses mecanismos, incluindo os tipos de registro RRSIG, DNSKEY, DS e NSEC. (Para obter mais informações, consulte 12 registros DNS explicados.)
O RRISG é usado sempre que o DNSSEC estiver disponível para a máquina que envia a consulta e para a que a envia. Esse registro é enviado juntamente com o tipo de registro solicitado.
Um DNSKEY contendo informações assinadas pode ser assim:
ripe.net tem uma ficha DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
O registro do DS, ou assinante delegado, é usado para ajudar a autenticar a cadeia de confiança, para que uma zona pai e filho possam se comunicar com um grau adicional de conforto.
As entradas NSEC, ou próxima segurança, pulam essencialmente para a próxima entrada válida em uma lista de entradas DNS. É um método que pode ser usado para retornar uma entrada DNS inexistente. Isso é importante para que apenas as entradas DNS configuradas sejam confiáveis como genuínas.
O NSEC3, um mecanismo de segurança aprimorado para ajudar a mitigar ataques no estilo de dicionário, foi ratificado em março de 2008 na RFC 5155.
Recepção DNSSEC
Embora muitos proponentes tenham investido na implantação do DNSSEC, não deixa de ter seus críticos. Apesar de sua capacidade de ajudar a evitar ataques como ataques do tipo intermediário, em que as consultas podem ser seqüestradas e alimentadas incorretamente de maneira involuntária para os que geram consultas de DNS, há supostos problemas de compatibilidade com certas partes da infraestrutura de Internet existente. A principal questão é que o DNS geralmente usa o UDP (User Datagram Protocol) com menos largura de banda, enquanto o DNSSEC usa o TCP (Transmission Control Protocol) mais pesado para passar seus dados para frente e para trás, para maior confiabilidade e responsabilidade. Grande parte da antiga infraestrutura de DNS, que é repleta de milhões de solicitações de DNS 24 horas por dia, sete dias por semana, pode não ser capaz de aumentar o tráfego. Mesmo assim, muitos acreditam que o DNSSEC é um passo importante para garantir a infraestrutura da Internet.
Embora nada na vida seja garantido, levar algum tempo para considerar seus próprios riscos pode impedir muitas dores de cabeça caras no futuro. Ao implantar o DNSSEC, por exemplo, você pode aumentar sua confiança em partes de sua principal infraestrutura de DNS.
