Всеобщая мобилизация

Внедрение антивирусной защиты для DNS-серверов сталкивается с множеством трудностей.При организации безопасной веб-инфраструктуры обычно говорят о файловых и почтовых серверах. Однако не менее важно защищать и системы доменных имен - Domain Name System (DNS). Для обеспечения безопасности DNS сегодня разработана система Domain Name System Security Extensions (DNSSEC), с внедрением которой связан ряд проблем.

Система доменных имен является распределенной, то есть представляет собой совокупность компьютеров и предназначена для получения информации о доменах: она используется для получения IP-адреса. При вводе пользователем в адресную строку браузера обычного адреса система DNS автоматически определит соответствующий IP-адрес и выдаст искомую страницу. Сейчас существует множество DNS-решений: BIND, Microsoft DNS Server, Open DNS и другие.

Последствия хакерской атаки на DNS-сервер могут обернуться для простых пользователей ловушкой, о которой они даже не будут подозревать. Пользователь рискует просто не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы. В результате перехода пользователя на ложный IP-адрес хакер может получить доступ к его личной информации.

Атаки на DNS - далеко не новая стратегия хакеров, однако только недавно борьба с этим видом угроз стала принимать глобальный характер. "В прошлом уже происходили атаки на DNS-серверы, приводящие к массовым сбоям, - рассказал в интервью cnews.ru руководитель направления инфраструктурных решений российского представительства компании ESET Алексей Шевченко. - Так, например, в декабре прошлого года из-за подмены DNS-записи в течение часа пользователям был недоступен известный всем сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии. Но подобные атаки относятся к локальным инцидентам и не так серьезны. Куда опаснее атаки на корневые DNS-серверы. В частности, широкую огласку получили атаки в октябре 2002 года, когда неизвестные пытались атаковать 10 из 13 DNS-серверов верхнего уровня, и в 2009 году, когда пытались нарушить работу как минимум двух корневых серверов".

Основной причиной такой подверженности угрозам DNS-систем является то, что они работают по протоколу UDP, более уязвимому, чем TCP.

Для обеспечения безопасности DNS-серверов планируется широкое развертывание DNSSEC. В основе этого протокола лежит метод цифровой подписи ответов на запросы. У администратора доменной зоны, поддерживающей данную технологию, есть закрытый ключ, который с помощью криптографических алгоритмов позволяет сгенерировать цифровую подпись. Клиенты же, в свою очередь, получают открытый ключ, соответствующий закрытому. Клиентский ключ дает возможность проверять достоверность цифровой подписи. При этом открытый ключ позволяет проверить подлинность подписи, но не дает возможности сгенерировать ее. Правда, раскрыть ключ в теории все же можно, но при современном развитии технологий для этого потребуется недоступное на практике количество вычислительных ресурсов.

Таким образом, теоретически защиту DNS взломать можно (впрочем, как и любую другую), но на практике это пока недостижимо, хотя технологии злоумышленников тоже не стоят на месте. По мнению экспертов, эта система защиты может помочь против таких вирусов, как, например, Conficker, который в 2008-2009 годах устроил самую настоящую панику в мировом интернет-сообществе, - за месяц было зафиксировано более 2 млн. заражений компьютеров. Эпидемия Win32.HLLW.Shadow продолжается и сейчас. В среднем в месяц фиксируется от 500 тысяч до 1,3 млн. случаев проявления вируса, который перенаправляет пользователя по ложным запросам. В настоящее время Win32.HLLW.Shadow входит в тройку наиболее распространенных вредоносных программ как в почтовом трафике, так и среди вредоносных объектов, обнаруженных на компьютерах пользователей.

На данный момент система DNSSEC уже используется в Швейцарии и Болгарии. Планируется распространить ее действие и на остальные зоны. Ориентировочно это произойдет в конце 2011 года. Уже в январе 2010 года началось развертывание нового протокола в 13 корневых серверах, и на сегодня этот процесс завершен. Однако процедура подписания корневых зон пока носит тестовый характер.

К тому же процесс внедрения DNSSEC требует немалых финансовых вложений. Поддержка этого протокола требует замены программного и аппаратного обеспечения как на серверной, так и на клиентской сторонах. По данным РБК daily, цифра, в которую обойдется переход на DNSSEC, например, в России, может составить 100 млн. USD.

Не стоит также забывать, что внедрение нового протокола увеличит объем передаваемых данных почти в 2 раза. Причем когда размеры пакета будут превышать 512 байт, могут возникнуть сложности с его приемом. Конечно, у этой проблемы есть решение. Если клиентский компьютер не в состоянии принимать пакеты больше 512 байт, сервер максимально сжимает их. Однако сжатие небезгранично, и если после него размер пакета все еще большой, то клиент автоматически переключится с транспортного протокола UDP на TCP, в котором нет подобных ограничений.

Могут возникнуть и другие ситуации, которые приведут к повторным отправкам пакетов между клиентом и сервером, что увеличит нагрузку на инфраструктуру. К тому же дополнительную нагрузку на оборудование будет оказывать процесс генерации и проверки цифровых подписей.

Поскольку такая подпись увеличивает объем информации, использование UDP-протокола становится рискованным с точки зрения надежности передачи данных, ведь в некоторых сегментах сети фрагментирование больших пакетов может не поддерживаться и DNSSEC на основе данного протокола просто не будет работать.

Таким образом, на сегодня глобальная защита от атак на DNS-серверы разработана, но не полностью адаптирована для вероятных клиентов. Впрочем, процесс совершенствования DNSSEC в частности и криптографической защиты в целом еще далеко не завершен.