ݺߣ

ݺߣShare a Scribd company logo

DNS систем и безбедност

Регистар националног Интернет домена Србије - РНИДС
Регистар националног Интернет домена Србије - РНИДС

DNS систему (Domain Name System) се не посвећује пажња коју заслужује, што доводи до многих ризичних ситуација Јавност није освешћена да постоје велике опасности од преузимања контроле над појединим деловима DNS система који могу да воде до преузимања контроле над било којом активношћу на Интернету (приступ веб локацијама, веб сервисима, мејловима...). У презентаији која је пред вама, можете сазнати зашто је DNS систем критичан за рад доменских простора, односно целог Интернета и како Регистар националних интернет домена Србије брине о безбедности домаћег Интернета.

1 of 22
Download to read offline
DNS систем и безбедност Жарко Кецић Октобар 2017.Београд
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS и безбедност? Чему брига око DNS-а? DNS је веома моћан, свеприсутан и углавном игнорисан. ТО ЈЕ ВЕОМА ОПАСНА КОМБИНАЦИЈА!
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS је често занемарен! DNS углавном није у фокусу, када су у питању инвестиције, а често ни када је у питању одржавање сервиса. Када говоримо о DNS систему, многи користе: • старе верзије софтвера, • стару опрему, • низак ниво редундантности, • никакве или алате мале оперативне вредности за праћење рада DNS-а, • неадекватне (неискусне) DNS администраторе. DNS није „cool“!
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Када сам био мали желео сам да будем DNS администратор! • Бити DNS администратор није баш престижан посао (мали број деце тежи да буде DNS администратор – већина њих жели да буде маркетинг менаџер ☺) • Код нас, а и у свету, нема скупова чија је тематика искључиво развој и оперативна пракса везана за DNS. Једини изузетак је DNS-OARC (https://www.dns-oarc.net/) • DNS је оперативно критичан, а истовремено небитан и самим тим је за већину нејасан и непознат. Колико пажње посвећујете својим DNS серверима?
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Све апликације се ослањају на DNS ▪ и-мејл ▪ WWW ▪ Peer to peer апликације ▪ Instant messaging ▪ Voice over IP, итд… Практично, све апликације на Интернету зависе од DNS-а. То DNS сервис ставља у потпуно различиту категорију у односу на остале Интернет сервисе. Ако, на пример, и-мејл не ради, све остало ће радити, али ако DNS стане скоро све остало ће стати. DNS је једна од кључних технологија без које Интернет не би функционисао!
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Ако контролишем ваш DNS… … могу да контролишем ваш свет. Користите online banking? Тргујете на eBay-у? Шаљете и примате важне и-мејл поруке? Ако неко контролише ваш DNS може вас преусмерити где год жели. Већина корисника не разуме DNS, пре свега, јер им није ни потребно да разумеју како ради да би користили Интернет. DNS једноставно функционише! Баш зато што DNS „једноставно функционише“, нико му не посвећује потребну пажњу и веома мало се говори о чињеници да DNS може веома лако да буде искоришћен за злонамерне активности. Због тога је потребно да свима, а нарочито ИТ професионалцима скренемо пажњу на могуће злоупотребе DNS-а.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Карактеристике DNS-а ▪ Да буде увек доступан – ако DNS није доступан, за његове кориснике Интернет је „пао“ (или, ако је сервер ауторитативан за зону, та зона није доступна осталим корисницима) ▪ Да буде поуздан – ако DNS враћа нетачне вредности корисници могу бити преусмерени на интернет локацију где ће његови поверљиви подаци бити компромитовани, или на локацију која може да „зарази“ компјутер ▪ Да буде брз – учитавање једне веб стране може да захтева десетине, па и стотине DNS упита (како би се осећали када би одговор на сваки упит чекали само секунду?) ▪ Да буду прилагодљиви и флексибилни – постоје различите намене и потребе корисника ▪ Да буде проширив – има много ствари које DNS може да обавља, још увек не знамо шта је то, али треба оставити могућност да се DNS развија Kако DNS функционише!
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS систем Основни задатак DNS система је мапирање назива домена у IP адресу: ▪ www.rnids.rs = 87.237.205.199 ▪ Као и многа друга мапирања (и-мејл сервер (MX), IPv6 (AAAA), инверзно мапирање…) DNS је хијерархијски организован ▪ Свака зона има ауторитативну DNS структуру и садржи локалне податке. Root срб rs com rnidsпр ciscoac ni bg
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Како ради DNS DNS упити се разрешавају у неколико корака – од хијерархијски виших нивоа ка нижим. Корисник www.rnids.rs? www.rnids.rs A 87.237.205.199 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Слабости DNS-а DNS је дизајниран да подаци буду доступни • DNS подаци се реплицирају на више сервера • DNS зона „ради“ ако је и само један сервер доступан. DDoS напад на root зону мора да онеспособи 13 root сервера са великим бројем еникаст инстанци. DNS не укључује проверу валидности података • Било који DNS одговор се прихвата • Ресолвер не разликује исправне од неисправних одговора Само један root сервер са невалидним подацима може да поремети читав Интернет.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Лоши момци знају слабе тачке DNS сервиса Због својих слабости DNS сервис представља сталну мету злонамерних корисника Интернета. Циљеви нападача могу бити различити, од политичких и верских до материјалних, или једноставно деструктивних. Напади могу бити изведени на различите начине: • Man in the middle – пресретање и измена DNS пакета. • Cache poisoning – када се погрешне информације убацују у DNS податке које многи сервери чувају у локалној бази. • Malware – деструктивни програми који могу да измене host фајл или податке о DNS серверима. • DoS, DDoS и rDDoS напади – DNS представља једну од најкоришћенијих технологија за спровођење напада на друге системе (botnet command and control)
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Може ли одговор да изгледа овако? Корисник www.rnids.rs = 87.237.205.199 www.rnids.rs? www.rnids.rs A 68.178.242.111 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Једноставан MITM напад Први одговор који стигне „побеђује“, сви стали су одбачени! Корисник www.rnids.rs? www.rnids.rs A 87.237.205.199 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Комплекснији напад Cache poisoning Сви корисници „зараженог“ DNS сервера добијају погрешан одговор! Вероватноћа = 1 − 1 − 1 𝑡 𝑛 𝑛−1 2
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Употреба лажне (spoofed) адресе Ако не размишљате као нападач нећете одмах схватити зашто би ико користио лажну адресу. Има неколико разлога: ▪ Жели да остане анониман ▪ Жели да његов систем остане што дуже неблокиран ▪ Жели да саобраћај усмери ка рачунару жртве IP = 1.2.3.4 IP = 1.2.3.4 IP = 151.62.74.83 151.62.74.83 IP = 151.62.74.83 1.2.3.4 20b/q q x 200
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DDoS напад „Botnet“ или мрежа зомбија je велики број рачунара на Интернету који су заражени злонамерним програмом који контролише нападач. Botnet (зомбији) Нападач Жртва Власници тих рачунара нису свесни да нападач користи њихове ресурсе за напад на рачунар/систем жртве.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић rDDoS – рефлекторски (амплифицирани) DDoS напад DNS сервери (користе UDP протокол) су најчешће Коришћени „рефлектори“ за реализацију rDDoS напада. Одговор DNS сервера може бити и до 200 пута већи од величине DNS упита. За напад на Spamhaus (900Gb/s) употребљен је botnet и „отворени“ DNS ресолвери широм света. Процењује се да у свету има више од 20 милиона лоше конфигурисаних DNS сервера. Botnet (зомбији) Нападач Жртва Рефлектори
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Како се одбранити? ▪ Редовно проверавати ДНС рекорде у родитељској зони. ▪ Забранити саобраћај адресама које нису део вашег система (SAV –Source Address Validation). ▪ Редовно ажурирање софтвера (инсталација нових верзија DNS сервера и надградњи). ▪ Дозволити разрешавање DNS упита само за кориснике вашег система. ▪ Активирати „Response Rate Limiting“ (RRL) на ауторитативним серверима који одговоре пружају свима. ▪ DNSSEC (валидација је једнако важна!) РНИДС би ускоро требало да потпише обе TLD зоне и све зоне другог нивоа које су у његовој надлежности.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Шта РНИДС ради? ▪ Користи најбољу праксу и константно прати функционисање система. ▪ Користи адаптивни „Response Rate Limiting“ (RRL) на DNS северима који су под контролом РНИДС-а. ▪ За TLD зоне користи еникаст сервис глобалних DNS оператера (више од 300 глобално распоређених DNS сервера). ▪ Имплементирана савремена решења за заштиту система за регистрацију назива домена. ▪ Корисницима омогућава три врсте заштите назива домена.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Систем за регистрацију назива домена Rsreg DNSSEC SSL/TLS WAF IP филтрирање Системи ОР-ова Корисници ▪ Савремени системи заштите и детекције напада. ▪ Ограничена права приступа систему за регистрацију и креирање и потписивање зона. ▪ Шифрирање саобраћаја.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Заштита за кориснике Сигуран режим – Свака промена критичних података на систему мора да буде потврђена од стране корисника (аутоматизован систем). Закључавање на страни клијента – Корисници кроз системе овлашћеног регистра забрањују промене података о домену (препоручена имплементација за ОР захтева мануелно откључавање од стране оператера ОР-а). Закључавање на страни регистра – На захтев корисника РНИДС забрањује промене података о домену. Мануелна операција која захтева потврду најмање два контакта овлашћена од стране регистранта.
Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Хвала на пажњи Жарко Кецић www.rnids.rs рнидс.срб www.domen.rs домен.срб

Recommended

DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
Регистар националног Интернет домена Србије - РНИДС
.COM je kul ali i mi smo!
.COM je kul ali i mi smo!.COM je kul ali i mi smo!
.COM je kul ali i mi smo!
Регистар националног Интернет домена Србије - РНИДС
Developers' mDay 2017. - Jelena Ožegović RNIDS
Developers' mDay 2017. - Jelena Ožegović RNIDSDevelopers' mDay 2017. - Jelena Ožegović RNIDS
Developers' mDay 2017. - Jelena Ožegović RNIDS
mCloud
Analiza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenimaAnaliza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenima
Регистар националног Интернет домена Србије - РНИДС
Web дизајн (it), део 1, школска 2010 11, триместар 3
Web дизајн (it), део 1, школска 2010 11, триместар 3Web дизајн (it), део 1, школска 2010 11, триместар 3
Web дизајн (it), део 1, школска 2010 11, триместар 3
Nikola Reljin
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Регистар националног Интернет домена Србије - РНИДС
IPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi PaletIPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi Palet
Регистар националног Интернет домена Србије - РНИДС
IPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi PaletIPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi Palet
Регистар националног Интернет домена Србије - РНИДС
IPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletIPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi Palet
Регистар националног Интернет домена Србије - РНИДС
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
Регистар националног Интернет домена Србије - РНИДС
DNSSEC implementation in Russia
DNSSEC implementation in Russia DNSSEC implementation in Russia
DNSSEC implementation in Russia
Регистар националног Интернет домена Србије - РНИДС
Едукативни инфографици
Едукативни инфографици Едукативни инфографици
Едукативни инфографици
Регистар националног Интернет домена Србије - РНИДС
Спамовање лудом радовање
Спамовање лудом радовањеСпамовање лудом радовање
Спамовање лудом радовање
Регистар националног Интернет домена Србије - РНИДС
Избор правог интернет хостинга
Избор правог интернет хостингаИзбор правог интернет хостинга
Избор правог интернет хостинга
Регистар националног Интернет домена Србије - РНИДС
5 предности .RS домена
5 предности .RS домена5 предности .RS домена
5 предности .RS домена
Регистар националног Интернет домена Србије - РНИДС
4 корака до доброг интернет сајта
4 корака до доброг интернет сајта4 корака до доброг интернет сајта
4 корака до доброг интернет сајта
Регистар националног Интернет домена Србије - РНИДС
Кораци до доброг интернет домена
Кораци до доброг интернет доменаКораци до доброг интернет домена
Кораци до доброг интернет домена
Регистар националног Интернет домена Србије - РНИДС
Malware - Малициозни софтвер
Malware - Малициозни софтверMalware - Малициозни софтвер
Malware - Малициозни софтвер
Регистар националног Интернет домена Србије - РНИДС
Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић
Регистар националног Интернет домена Србије - РНИДС
Stuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеStuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последице
Регистар националног Интернет домена Србије - РНИДС
.СРБ IDN domain brief history
.СРБ IDN domain brief history.СРБ IDN domain brief history
.СРБ IDN domain brief history
Регистар националног Интернет домена Србије - РНИДС
Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Велики Интернет за мали бизнис
Велики Интернет за мали бизнис
Регистар националног Интернет домена Србије - РНИДС
RNIDS u 2012. godini
RNIDS u 2012. godiniRNIDS u 2012. godini
RNIDS u 2012. godini
Регистар националног Интернет домена Србије - РНИДС
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav RodićRNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
Регистар националног Интернет домена Србије - РНИДС

More Related Content

More from Регистар националног Интернет домена Србије - РНИДС (16)

IPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletIPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi Palet
Регистар националног Интернет домена Србије - РНИДС
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
Регистар националног Интернет домена Србије - РНИДС
DNSSEC implementation in Russia
DNSSEC implementation in Russia DNSSEC implementation in Russia
DNSSEC implementation in Russia
Регистар националног Интернет домена Србије - РНИДС
Едукативни инфографици
Едукативни инфографици Едукативни инфографици
Едукативни инфографици
Регистар националног Интернет домена Србије - РНИДС
Спамовање лудом радовање
Спамовање лудом радовањеСпамовање лудом радовање
Спамовање лудом радовање
Регистар националног Интернет домена Србије - РНИДС
Избор правог интернет хостинга
Избор правог интернет хостингаИзбор правог интернет хостинга
Избор правог интернет хостинга
Регистар националног Интернет домена Србије - РНИДС
5 предности .RS домена
5 предности .RS домена5 предности .RS домена
5 предности .RS домена
Регистар националног Интернет домена Србије - РНИДС
4 корака до доброг интернет сајта
4 корака до доброг интернет сајта4 корака до доброг интернет сајта
4 корака до доброг интернет сајта
Регистар националног Интернет домена Србије - РНИДС
Кораци до доброг интернет домена
Кораци до доброг интернет доменаКораци до доброг интернет домена
Кораци до доброг интернет домена
Регистар националног Интернет домена Србије - РНИДС
Malware - Малициозни софтвер
Malware - Малициозни софтверMalware - Малициозни софтвер
Malware - Малициозни софтвер
Регистар националног Интернет домена Србије - РНИДС
Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић
Регистар националног Интернет домена Србије - РНИДС
Stuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеStuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последице
Регистар националног Интернет домена Србије - РНИДС
.СРБ IDN domain brief history
.СРБ IDN domain brief history.СРБ IDN domain brief history
.СРБ IDN domain brief history
Регистар националног Интернет домена Србије - РНИДС
Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Велики Интернет за мали бизнис
Велики Интернет за мали бизнис
Регистар националног Интернет домена Србије - РНИДС
RNIDS u 2012. godini
RNIDS u 2012. godiniRNIDS u 2012. godini
RNIDS u 2012. godini
Регистар националног Интернет домена Србије - РНИДС
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav RodićRNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
Регистар националног Интернет домена Србије - РНИДС
IPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletIPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi Palet
Регистар националног Интернет домена Србије - РНИДС
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
Регистар националног Интернет домена Србије - РНИДС
DNSSEC implementation in Russia
DNSSEC implementation in Russia DNSSEC implementation in Russia
DNSSEC implementation in Russia
Регистар националног Интернет домена Србије - РНИДС
Едукативни инфографици
Едукативни инфографици Едукативни инфографици
Едукативни инфографици
Регистар националног Интернет домена Србије - РНИДС
Спамовање лудом радовање
Спамовање лудом радовањеСпамовање лудом радовање
Спамовање лудом радовање
Регистар националног Интернет домена Србије - РНИДС
Избор правог интернет хостинга
Избор правог интернет хостингаИзбор правог интернет хостинга
Избор правог интернет хостинга
Регистар националног Интернет домена Србије - РНИДС
5 предности .RS домена
5 предности .RS домена5 предности .RS домена
5 предности .RS домена
Регистар националног Интернет домена Србије - РНИДС
4 корака до доброг интернет сајта
4 корака до доброг интернет сајта4 корака до доброг интернет сајта
4 корака до доброг интернет сајта
Регистар националног Интернет домена Србије - РНИДС
Кораци до доброг интернет домена
Кораци до доброг интернет доменаКораци до доброг интернет домена
Кораци до доброг интернет домена
Регистар националног Интернет домена Србије - РНИДС
Malware - Малициозни софтвер
Malware - Малициозни софтверMalware - Малициозни софтвер
Malware - Малициозни софтвер
Регистар националног Интернет домена Србије - РНИДС
Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић
Регистар националног Интернет домена Србије - РНИДС
Stuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеStuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последице
Регистар националног Интернет домена Србије - РНИДС
.СРБ IDN domain brief history
.СРБ IDN domain brief history.СРБ IDN domain brief history
.СРБ IDN domain brief history
Регистар националног Интернет домена Србије - РНИДС
Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Велики Интернет за мали бизнис
Велики Интернет за мали бизнис
Регистар националног Интернет домена Србије - РНИДС
RNIDS u 2012. godini
RNIDS u 2012. godiniRNIDS u 2012. godini
RNIDS u 2012. godini
Регистар националног Интернет домена Србије - РНИДС
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav RodićRNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
RNIDS - O ćiriličkom domenu - TELFOR 2011 - Vojislav Rodić
Регистар националног Интернет домена Србије - РНИДС

DNS систем и безбедност

  • 1. DNS систем и безбедност Жарко Кецић Октобар 2017.Београд
  • 2. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS и безбедност? Чему брига око DNS-а? DNS је веома моћан, свеприсутан и углавном игнорисан. ТО ЈЕ ВЕОМА ОПАСНА КОМБИНАЦИЈА!
  • 3. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS је често занемарен! DNS углавном није у фокусу, када су у питању инвестиције, а често ни када је у питању одржавање сервиса. Када говоримо о DNS систему, многи користе: • старе верзије софтвера, • стару опрему, • низак ниво редундантности, • никакве или алате мале оперативне вредности за праћење рада DNS-а, • неадекватне (неискусне) DNS администраторе. DNS није „cool“!
  • 4. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Када сам био мали желео сам да будем DNS администратор! • Бити DNS администратор није баш престижан посао (мали број деце тежи да буде DNS администратор – већина њих жели да буде маркетинг менаџер ☺) • Код нас, а и у свету, нема скупова чија је тематика искључиво развој и оперативна пракса везана за DNS. Једини изузетак је DNS-OARC (https://www.dns-oarc.net/) • DNS је оперативно критичан, а истовремено небитан и самим тим је за већину нејасан и непознат. Колико пажње посвећујете својим DNS серверима?
  • 5. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Све апликације се ослањају на DNS ▪ и-мејл ▪ WWW ▪ Peer to peer апликације ▪ Instant messaging ▪ Voice over IP, итд… Практично, све апликације на Интернету зависе од DNS-а. То DNS сервис ставља у потпуно различиту категорију у односу на остале Интернет сервисе. Ако, на пример, и-мејл не ради, све остало ће радити, али ако DNS стане скоро све остало ће стати. DNS је једна од кључних технологија без које Интернет не би функционисао!
  • 6. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Ако контролишем ваш DNS… … могу да контролишем ваш свет. Користите online banking? Тргујете на eBay-у? Шаљете и примате важне и-мејл поруке? Ако неко контролише ваш DNS може вас преусмерити где год жели. Већина корисника не разуме DNS, пре свега, јер им није ни потребно да разумеју како ради да би користили Интернет. DNS једноставно функционише! Баш зато што DNS „једноставно функционише“, нико му не посвећује потребну пажњу и веома мало се говори о чињеници да DNS може веома лако да буде искоришћен за злонамерне активности. Због тога је потребно да свима, а нарочито ИТ професионалцима скренемо пажњу на могуће злоупотребе DNS-а.
  • 7. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Карактеристике DNS-а ▪ Да буде увек доступан – ако DNS није доступан, за његове кориснике Интернет је „пао“ (или, ако је сервер ауторитативан за зону, та зона није доступна осталим корисницима) ▪ Да буде поуздан – ако DNS враћа нетачне вредности корисници могу бити преусмерени на интернет локацију где ће његови поверљиви подаци бити компромитовани, или на локацију која може да „зарази“ компјутер ▪ Да буде брз – учитавање једне веб стране може да захтева десетине, па и стотине DNS упита (како би се осећали када би одговор на сваки упит чекали само секунду?) ▪ Да буду прилагодљиви и флексибилни – постоје различите намене и потребе корисника ▪ Да буде проширив – има много ствари које DNS може да обавља, још увек не знамо шта је то, али треба оставити могућност да се DNS развија Kако DNS функционише!
  • 8. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DNS систем Основни задатак DNS система је мапирање назива домена у IP адресу: ▪ www.rnids.rs = 87.237.205.199 ▪ Као и многа друга мапирања (и-мејл сервер (MX), IPv6 (AAAA), инверзно мапирање…) DNS је хијерархијски организован ▪ Свака зона има ауторитативну DNS структуру и садржи локалне податке. Root срб rs com rnidsпр ciscoac ni bg
  • 9. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Како ради DNS DNS упити се разрешавају у неколико корака – од хијерархијски виших нивоа ка нижим. Корисник www.rnids.rs? www.rnids.rs A 87.237.205.199 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
  • 10. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Слабости DNS-а DNS је дизајниран да подаци буду доступни • DNS подаци се реплицирају на више сервера • DNS зона „ради“ ако је и само један сервер доступан. DDoS напад на root зону мора да онеспособи 13 root сервера са великим бројем еникаст инстанци. DNS не укључује проверу валидности података • Било који DNS одговор се прихвата • Ресолвер не разликује исправне од неисправних одговора Само један root сервер са невалидним подацима може да поремети читав Интернет.
  • 11. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Лоши момци знају слабе тачке DNS сервиса Због својих слабости DNS сервис представља сталну мету злонамерних корисника Интернета. Циљеви нападача могу бити различити, од политичких и верских до материјалних, или једноставно деструктивних. Напади могу бити изведени на различите начине: • Man in the middle – пресретање и измена DNS пакета. • Cache poisoning – када се погрешне информације убацују у DNS податке које многи сервери чувају у локалној бази. • Malware – деструктивни програми који могу да измене host фајл или податке о DNS серверима. • DoS, DDoS и rDDoS напади – DNS представља једну од најкоришћенијих технологија за спровођење напада на друге системе (botnet command and control)
  • 12. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Може ли одговор да изгледа овако? Корисник www.rnids.rs = 87.237.205.199 www.rnids.rs? www.rnids.rs A 68.178.242.111 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
  • 13. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Једноставан MITM напад Први одговор који стигне „побеђује“, сви стали су одбачени! Корисник www.rnids.rs? www.rnids.rs A 87.237.205.199 DNS разрешивач (ресолвер) Root DNS сервер rs DNS сервер rnids.rs DNS сервер
  • 14. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Комплекснији напад Cache poisoning Сви корисници „зараженог“ DNS сервера добијају погрешан одговор! Вероватноћа = 1 − 1 − 1 𝑡 𝑛 𝑛−1 2
  • 15. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Употреба лажне (spoofed) адресе Ако не размишљате као нападач нећете одмах схватити зашто би ико користио лажну адресу. Има неколико разлога: ▪ Жели да остане анониман ▪ Жели да његов систем остане што дуже неблокиран ▪ Жели да саобраћај усмери ка рачунару жртве IP = 1.2.3.4 IP = 1.2.3.4 IP = 151.62.74.83 151.62.74.83 IP = 151.62.74.83 1.2.3.4 20b/q q x 200
  • 16. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић DDoS напад „Botnet“ или мрежа зомбија je велики број рачунара на Интернету који су заражени злонамерним програмом који контролише нападач. Botnet (зомбији) Нападач Жртва Власници тих рачунара нису свесни да нападач користи њихове ресурсе за напад на рачунар/систем жртве.
  • 17. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић rDDoS – рефлекторски (амплифицирани) DDoS напад DNS сервери (користе UDP протокол) су најчешће Коришћени „рефлектори“ за реализацију rDDoS напада. Одговор DNS сервера може бити и до 200 пута већи од величине DNS упита. За напад на Spamhaus (900Gb/s) употребљен је botnet и „отворени“ DNS ресолвери широм света. Процењује се да у свету има више од 20 милиона лоше конфигурисаних DNS сервера. Botnet (зомбији) Нападач Жртва Рефлектори
  • 18. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Како се одбранити? ▪ Редовно проверавати ДНС рекорде у родитељској зони. ▪ Забранити саобраћај адресама које нису део вашег система (SAV –Source Address Validation). ▪ Редовно ажурирање софтвера (инсталација нових верзија DNS сервера и надградњи). ▪ Дозволити разрешавање DNS упита само за кориснике вашег система. ▪ Активирати „Response Rate Limiting“ (RRL) на ауторитативним серверима који одговоре пружају свима. ▪ DNSSEC (валидација је једнако важна!) РНИДС би ускоро требало да потпише обе TLD зоне и све зоне другог нивоа које су у његовој надлежности.
  • 19. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Шта РНИДС ради? ▪ Користи најбољу праксу и константно прати функционисање система. ▪ Користи адаптивни „Response Rate Limiting“ (RRL) на DNS северима који су под контролом РНИДС-а. ▪ За TLD зоне користи еникаст сервис глобалних DNS оператера (више од 300 глобално распоређених DNS сервера). ▪ Имплементирана савремена решења за заштиту система за регистрацију назива домена. ▪ Корисницима омогућава три врсте заштите назива домена.
  • 20. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Систем за регистрацију назива домена Rsreg DNSSEC SSL/TLS WAF IP филтрирање Системи ОР-ова Корисници ▪ Савремени системи заштите и детекције напада. ▪ Ограничена права приступа систему за регистрацију и креирање и потписивање зона. ▪ Шифрирање саобраћаја.
  • 21. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Заштита за кориснике Сигуран режим – Свака промена критичних података на систему мора да буде потврђена од стране корисника (аутоматизован систем). Закључавање на страни клијента – Корисници кроз системе овлашћеног регистра забрањују промене података о домену (препоручена имплементација за ОР захтева мануелно откључавање од стране оператера ОР-а). Закључавање на страни регистра – На захтев корисника РНИДС забрањује промене података о домену. Мануелна операција која захтева потврду најмање два контакта овлашћена од стране регистранта.
  • 22. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић Хвала на пажњи Жарко Кецић www.rnids.rs рнидс.срб www.domen.rs домен.срб