Szerző: Bizó Dániel

2010. május 6. 15:52

Nyárra biztonságossá válik a DNS

Tegnap lezárult az internet gyökér névszervereinek frissítése a DNSSEC specifikációknak megfelelően, aminek célja az internet biztonságosabbá tétele a DNS-t érő manipulatív támadások megnehezítésével.

A legfelsőbb szintű domaineket kezelő ICANN (Internet Corporation for Assigned Names and Numbers) és partnerei tegnap befejezték az általuk üzemeltetett 13 gyökér névszerver frissítését, így azok már a VeriSign és az Egyesült Államok nemzetbiztonsági hivatal által irányított, az Internet Engineering Task Force által kidolgozott Domain Name System Security Extension (DNSSEC) szerint működnek. A több fázisban, január végével elkezdett átállás a jelentések szerint probléma nélkül lezajlott, és a következő két hónap során folyik majd a tesztelés utolsó fázisa, mielőtt július elsején aktiválják az új rendszert.

A DNSSEC célja az, hogy az eredeti DNS-t kiegészítve hitelesítse a domainnevek feloldásakor visszaadott IP-címet, garantálva azt, hogy az adatok megbízható forrásból származnak és nem sérültek vagy manipuláltak, azaz a számítógépünk számára válaszként érkező IP-cím egyezik azzal, amelyet a legitim DNS-szerverek tárolnak. Ezzel megakadályozható a ma elterjedt DNS-mérgezési (cache poisoning) és beékelődő (man-in-the-middle) támadások jó része, és a felhasználók nagyobb biztonsággal böngészhetnek a neten.

A védelem működésének lényege, hogy a DNS által adott válaszok mindegyike digitálisan aláírt, amelynek ellenőrzésével a kliens meggyőződhet arról, hogy a kapott adatok megfelelnek-e a megbízható DNS-szerver által elküldöttekkel. A digitális aláírás nyilvános (aszimmetrikus) kulcsos titkosításra épít, vagyis a megadott nyilvános kulccsal kizárólag akkor lehet visszaolvasni az aláírást, ha hiteles forrásból, a megfelelő magánkulccsal kódolták le. Ehhez természetesen szükséges a kliensoldali támogatás is, a modern operációs rendszerekben (pl. Windows 7, Windows Server 2008 R2) már megjelent ez a képesség, felkészülve a DNSSEC várható bevezetésére, így a kapott aláírást egy hitelesítési láncon (authentication chain) keresztül megtalálható nyilvános kulccsal kell dekódolni.

Jelenleg a rendszer utolsó tesztelési fázisa zajlik, ahol minden az utolsó gyökérszerver is a helyére került, a mechanizmus működik, kivéve a publikus kulcsot, a DNSKEY rekordot. Ez az úgynevezett Deliberately Unvalidatable Root Zone, amelynek célja az, hogy úgy tesztelje a DNSSEC csomagok viselkedését a hálózaton, vagyis azt, hogyan reagálnak például a tűzfalak a megjelenő új, nagyobb méretű vagy akár töredezett csomagokra, hogy probléma esetén le lehet állítani a rendszert és visszatérni az eredeti DNS-implementációra anélkül, hogy ezzel leállást okoznának bárhol.

Kulcskezelés

A magán-, avagy privát kulcsokat rendkívül magas biztonsági szinttel őrzik. Az ICANN jelenleg kettő, fegyversen őrzött adatközpontot jelölt ki a privát kulcsokat generáló és tároló hardveres titkosító eszközök (hardware security module, HSM) védelméhez, amelyekhez kizárólag fizikailag lehet hozzáférni.  Egy HSM aktiválásához legalább három hitelesített személynek kell jelen lennie az összesen hozzárendelt hétből. Ahhoz, hogy ezek az úgynevezett \"crypto officerek\" hozzáférhessenek az adott HSM-hez, az ICANN embereinek is jelen kell lenniük az ajtók és széfek kinyitásához, ahova az adatközpontban dolgozók sem léphetnek be. A védelmi szint megfelel az amerikai kormányzati előírásoknak.

Ez az extra idő ráadásul lehetőséget teremt a rendszergazdáknak ahhoz, hogy véglegesen kiteszteljék a tűzfalakat a DNSSEC csomagok kezelésére - sok tűzfal megfogja az 512 bájt méretnél nagyobb, DNS-nek azonosított csomagokat.

Az előnyök kiaknázásához a DNS szerverek és az egyes irodákban lévő klienseket is fel kell készíteni a DNSSEC kezelésére, hogy az előbb említett cache poisoning és man-in-the-middle támadásokat ki lehessen védeni. A DNSSEC bevezetéshez a Microsoft készített például ingyenes útmutatót, amely más, nem Windows-alapú rendszereknél is szolgálhat támpontként.

Nem ez az első próbálkozás a DNS biztonságossá tételére, a 90-es években már elkezdtek dolgozni a megoldáson, azonban az internet villámgyors terjedése miatt végül felfüggesztették a fejlesztést, mivel a kidolgozott algoritmus nem volt megfelelően skálázható és irreális terhelést jelentett a hálózatra. Az IETF végül alapjaitól újraírta a DNSSEC-et, az új algoritmus jóval kevesebb kommunikációt igényel a DNS-rekord hitelesítéséhez, így a használata nem jár jelentős többletterheléssel.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról