Talaan ng mga Nilalaman:
Noong Abril, ang isang Dutch hacker ay naaresto para sa kung ano ang tinatawag na ang pinakamalaking pinakamalaking ipinamamahagi na pagtanggi sa pag-atake ng serbisyo na kailanman nakita. Ang pag-atake ay naganap sa Spamhaus, isang anti-spam na organisasyon, at ayon sa ENISA, ahensya ng seguridad ng IT ng European Union, ang pag-load sa imprastruktura ng Spamhaus ay umabot sa 300 gigabits bawat segundo, tatlong beses ang nakaraang tala. Nagdulot din ito ng mga pangunahing pagsisikip sa Internet, at pinalaki ang imprastrukturang Internet sa buong mundo.
Siyempre, ang mga pag-atake ng DNS ay hindi gaanong bihirang. Ngunit habang ang hacker sa kaso ng Spamhaus ay nangangahulugan lamang na mapinsala ang kanyang target, ang mas malaking ramifications ng pag-atake ay itinuro din sa kung ano ang maraming tumatawag sa isang malaking kapintasan sa imprastrukturang Internet: ang Domain Name System. Bilang isang resulta, ang mga kamakailang pag-atake sa mga pangunahing imprastraktura ng DNS ay iniwan ang mga technician at negosyante na magkamukha para sa mga solusyon. Kaya ano ang tungkol sa iyo? Mahalagang malaman kung anong mga opsyon ang mayroon ka para sa bolstering ang imprastraktura ng DNS ng iyong sariling negosyo pati na rin kung paano gumana ang mga root server ng DNS. Kaya tingnan natin ang ilan sa mga problema, at kung ano ang maaaring gawin ng mga negosyo upang maprotektahan ang kanilang sarili. (Matuto nang higit pa tungkol sa DNS sa DNS: Isang Protocol upang Mamuno sa Tila Lahat.)
Nariyan na imprastraktura
Ang Domain Name System (DNS) ay mula sa isang oras na nakalimutan ng Internet. Ngunit hindi iyon ginagawa itong lumang balita. Sa patuloy na nagbabantang pagbabanta ng mga cyberattacks, ang DNS ay sumailalim sa isang malaking pagsisiyasat sa mga nakaraang taon. Sa pagkabata nito, ang DNS ay hindi nag-aalok ng mga form ng pagpapatunay upang mapatunayan ang pagkakakilanlan ng isang nagpadala o tagatanggap ng mga query sa DNS.
Sa katunayan sa loob ng maraming taon, ang mga pangunahing server ng pangalan, o mga server ng ugat, ay napapailalim sa malawak at iba't ibang mga pag-atake. Sa mga araw na ito sila ay magkakaibang heograpiya at pinamamahalaan ng iba't ibang uri ng mga institusyon, kabilang ang mga katawan ng gobyerno, komersyal na mga nilalang at unibersidad, upang mapanatili ang kanilang integridad.
Alarmingly, ang ilang mga pag-atake ay medyo matagumpay sa nakaraan. Ang isang pag-atake ng crippling sa imprastraktura ng root server, halimbawa, ay nangyari noong 2002 (basahin ang isang ulat tungkol dito). Bagaman hindi ito lumikha ng isang kapansin-pansin na epekto para sa karamihan sa mga gumagamit ng Internet, naakit nito ang atensyon ng FBI at ang Kagawaran ng Homeland Security ng US sapagkat ito ay lubos na propesyonal at lubos na naka-target, na nakakaapekto sa siyam sa 13 mga operating root server. Kung nagpapatuloy ito sa loob ng higit sa isang oras, sinabi ng mga eksperto, ang mga resulta ay maaaring maging kapahamakan, ang mga elemento ng paglalagay ng imprastraktura ng DNS ng Internet lahat ngunit walang silbi.
Upang talunin ang tulad ng isang mahalagang bahagi ng imprastraktura ng Internet ay magbibigay ng isang matagumpay na pag-atake ng isang mahusay na lakas. Bilang isang resulta, ang makabuluhang oras at pamumuhunan mula nang mailapat sa isyu ng pag-secure ng imprastraktura ng root server. (Maaari mong suriin ang isang mapa na nagpapakita ng mga root server at ang kanilang mga serbisyo dito.)
Pag-secure ng DNS
Bukod sa pangunahing imprastraktura, pantay na mahalaga na isaalang-alang kung gaano kalakas ang istruktura ng DNS ng iyong sariling negosyo laban sa parehong pag-atake at pagkabigo. Karaniwan ang halimbawa (at nakasaad sa ilang mga RFC) na ang mga server ng pangalan ay dapat tumira sa ganap na magkakaibang mga subnets o network. Sa madaling salita, kung ang ISP A ay may isang buong pag-agaw at ang iyong pangunahing pangalan ng server ay nahuhulog sa offline, kung gayon ang ISP B ay magsisilbi pa rin sa iyong pangunahing data ng DNS sa sinumang humihiling nito.
Ang Mga Pagpapalawak ng Security System ng Domain Name (DNSSEC) ay isa sa mga pinakatanyag na paraan na mai-secure ng mga negosyo ang kanilang sariling imprastraktura ng server ng pangalan. Ito ay isang add-on upang matiyak na ang makina na kumonekta sa iyong mga server ng pangalan ay kung ano ang sinasabi nito. Pinapayagan din ng DNSSEC ang pagpapatunay para sa pagtukoy kung saan nagmumula ang mga kahilingan, pati na rin ang pagpapatunay na ang data mismo ay hindi nabago sa ruta. Gayunpaman, dahil sa pampublikong likas na katangian ng Domain Name System, ang kriptograpiya na ginamit ay hindi matiyak ang pagiging kompidensiyal ng data, at wala rin itong konsepto ng pagkakaroon nito kung ang mga bahagi ng imprastraktura ay nagdurusa ng isang pagkabigo ng ilang paglalarawan.
Ang isang bilang ng mga talaan ng pagsasaayos ay ginagamit upang maibigay ang mga mekanismong ito kasama ang mga uri ng RRSIG, DNSKEY, DS at NSEC. (Para sa higit pang impormasyon, suriin ang 12 DNS Record na Naipaliwanag.)
Ginagamit ang RRISG tuwing magagamit ang DNSSEC sa parehong makina na nagsusumite ng query at sa nagpapadala nito. Ang rekord na ito ay maipadala nang magkasama kasama ang hiniling na uri ng record.
Ang isang DNSKEY na naglalaman ng naka-sign na impormasyon ay maaaring magmukhang ganito:
ripe.net ay may DNSKEY record 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Ang DS, o delegated signer, ay ginamit upang matulungan ang pagpapatunay ng kadena ng tiwala upang ang isang magulang at isang zone ng bata ay maaaring makipag-usap sa isang idinagdag na antas ng kaginhawaan.
Ang NSEC, o susunod na ligtas, ang mga entry ay mahalagang tumalon sa susunod na wastong pagpasok sa isang listahan ng mga entry ng DNS. Ito ay isang pamamaraan na maaaring magamit upang maibalik ang isang walang umiiral na DNS entry. Mahalaga ito upang ang mga naka-configure na DNS na mga entry ay pinagkakatiwalaan bilang pagiging tunay.
Ang NSEC3, isang pinahusay na mekanismo ng seguridad upang matulungan ang pag-iwas sa mga pag-atake ng estilo ng diksyonaryo, ay na-ratipikado noong Marso 2008 sa RFC 5155.
Pagtanggap ng DNSSEC
Bagaman maraming mga proponents ang namuhunan sa pag-aalis ng DNSSEC hindi ito ay walang mga kritiko nito. Sa kabila ng kakayahang makatulong na maiwasan ang mga pag-atake tulad ng mga pag-atake ng tao, kung saan ang mga query ay maaaring mai-hijack at hindi tama na pakainin nang hindi sinasadya sa mga bumubuo ng mga query ng DNS, mayroong mga di-umano’y mga isyu sa pagiging tugma sa ilang mga bahagi ng umiiral na imprastrukturang Internet. Ang pangunahing isyu ay ang DNS ay karaniwang gumagamit ng mas kaunting bandwidth-gutom na User Datagram Protocol (UDP) samantalang ang DNSSEC ay gumagamit ng mas mabibigat na Transmission Control Protocol (TCP) upang maipasa ang data nito nang paulit-ulit para sa higit na pagiging maaasahan at pananagutan. Ang mga malalaking bahagi ng lumang imprastraktura ng DNS, na nakakuha ng pamilyar sa milyon-milyong mga kahilingan ng DNS 24 na oras sa isang araw, pitong araw sa isang linggo, ay maaaring hindi kaya ng pagtaas ng trapiko. Kahit na, marami ang naniniwala na ang DNSSEC ay isang pangunahing hakbang patungo sa pag-secure ng imprastrukturang Internet.
Bagaman walang garantiya sa buhay, ang paglaon ng ilang oras upang isaalang-alang ang iyong sariling mga panganib ay maaaring maiwasan ang maraming mga sobrang sakit ng ulo sa hinaharap. Sa pamamagitan ng pag-deploy ng DNSSEC, halimbawa, maaari mong dagdagan ang iyong tiwala sa mga bahagi ng iyong pangunahing imprastraktura ng DNS.
