Система доменных имен, запертая на ключ

DNS, запертая на ключ
Александр ВЕНЕДЮХИН,
RU-CENTER.
О ЧЁМ РЕЧЬ ПОЙДЁТ
1. Основы DNS;
2. Цели злоумышленников;
3. Доверие. Примеры уязвимостей;
4. DNSSEC;
5. Новые проблемы на горизонте.
Mmt200
ОСНОВЫ
DNS
NS1
NS2
NS...
Компьютер
пользователя
Резолвер
209.85.171.100
Кеширование
google.com?
DNS-сервер
провайдера
Кеширование
ОСНОВЫ
www.nic.ru?
Кеширующий
сервер
провайдера
Сервер имён
.NIC.RU.
Сервер имён
.RU.
Корневой
сервер
Имён '.'
ОСНОВЫ
DNS — это сервис, распределённая
система поиска адресов
DNS — один из фундаментальных
элементов Сети.
26
Web, e-mail... основа адресации
для пользователей.
ВСЁ РАБОТАЕТ НА ДОВЕРИИ!
1983 — год создания DNS
ЦЕЛИ ЗЛОУМЫШЛЕННИКОВ
Зачем им DNS?
* Перенаправление пользователей;
* Вторжение в корпоративные сети;
* Сокрытие следов;
* Распространение зловредов;
* Управление ботнетами.
DNS — удобная штука:
takomabibelo
t
* «Всеобщая» технология;
* Не фильтруется, не блокируется;
* Игнорируется админами;
* «Компактная», в смысле передаваемых данных.
ПРИМЕРЫ
«Отравление кеша»
Фундаментальные «дыры» DNS используются во вред
Запрос
evildomain.tld. IN A
Ответы о чужих доменах:
Кеширующий сервер
Подмена IP-адреса
«легитимного» NS;
Подмена имени
авторитативного NS;
UDP + tr. ID
(100,101,102... ?)
Предсказуемые «метки»
1989... 2007... 2008...
Amit Klein, Dan Kaminsky...
Плохо удостоверяется источник ответа
ПРИМЕРЫ
Цели отравления кеша
Пользователи заманиваются
на подставные серверы;
Похищаются «банковские пароли»;
Рассаживаются зловреды;
Проводятся многоступенчатые
атаки на другие ресурсы;
...и т.п., и т.д.,
БОНУС:
В 2008 году опубликован способ генерации
валидных поддельных SSL-сертификатов
Изготовление поддельных сертификатов было возможно и многим ранее
ПРИМЕРЫ
«Fast Flux»
Легитимные средства DNS на службе у злоумышленников
Ботнет, proxy
DNS,
ZONE
A n.n.n.n
A n1.1.1.1
...
Машина IP-1
Хостинг 1
Машина IP-2
Машина IP-3
TTL << 5m
Машина IP-4
Машина IP-5
...
Машина IP-n
Хостинг...
ПРИМЕРЫ
Для чего fast flux?
«Абузоустойчивый» хостинг;
Сокрытие следов;
Преодоление фильтров.
by Roomic Cube
Fast flux — не «криминален» сам по себе:
Используется для распределения нагрузки;
Годится на роль инструмента защиты «добропорядочных,
но проблемных» веб-сайтов.
ПРИМЕРЫ
«DNS rebinding»
Штатная работа DNS + дефекты политик безопасности в браузерах и другом ПО
Замена адреса NS-ом при
повторном обращении
1.
Запрос: tram-pam.evildomain.tld?
Ответ: IP сервера-источника (TTL=1s);
2.
Загрузка веб-страницы с «активным
содержимым» в браузер;
3.
Запрос: tram-pam.evildomain.tld?
Ответ: IP машины внутренней сети.
Ограничение запросов по имени хоста-источника — связано с DNS
Javascript (XMLHttpRequest), Flash, Java — были уязвимы
ПРИМЕРЫ
«DNS rebinding»
Атакующая система
Цели:
Атаки на машины и сервисы
внутри корпоративной сети;
«Угон» IP-адреса;
«Локальные» атаки с
использованием уязвимостей;
Корпоративная сеть
Интернет
Экран
Извлечение документов
из интранет;
DDoS-атаки на «внешние»
системы, «скликивание»
рекламы и т.п., и т.д.
НАПРАВЛЕНИЯ
«Уязвимые места»
Цель: «перенаправление» сеанса
Компьютер
пользователя
Резолвер
209.85.171.100
Кэширование
google.com?
DNS-сервер
провайдера
Кэширование
DNS
ПОЛОЖЕНИЕ ПОЛЬЗОВАТЕЛЕЙ
«Потребители» данных DNS
не имеют возможности
проверить подлинность
адресной информации
РЕШЕНИЯ
Требуется механизм «заверения» и проверки подлинности данных
Системы ЭЦП - решение
Секретный
ключ
Открытый
ключ
Криптография с
открытым ключом:
* Давно известный и
проверенный механизм;
Данные
Данные
Подпись
* Помогает решать задачи
удостоверения источника;
* Уже работает в смежных
областях (SSL).
Подпись
Результат
валидации
ПРИНЦИПЫ РАБОТЫ
Запрос DNS:
«www.google.com?»
Ответ «извне»:
«www.google.com = 10.10.10.100»
Подписано: 2eaF37Bd2012
DNSSEC
Проверка:
«адресные данные»
+
Подпись
+
открытый ключ google.com
---------------------------Настоящий адрес?
DNSSEC
Достижения:
Появляется инструмент
проверки подлинности
полученной информации;
Инструмент доступен всем
заинтересованным сторонам.
СМЫСЛ:
Доверие всё равно остаётся в основе!
Однако появляется инфраструктура по
управлению доверием!
РЕШЕНИЯ
Большой апгрейд:
Требуется новое серверное ПО
(доп. библиотеки).
by fdecomite
Требуется новое
клиентское ПО,
а также обновления для
«сопутствующих»
инструментов
By Hugo90
DNSSEC
МЕТАФИЗИКА
БЫЛО:
Доверяю всем подряд.
СТАЛО:
Сам решаю, кому доверять.
Но есть тонкости...
DNSSEC
«Хакер посередине»
Авторитативный
сервер
Цепочка связи
Клиент
Адрес, подпись, ключ
Клиент
Клиент не знает,
с кем обменивается информацией!
Что делать?
Авторитативный
сервер
Злоумышленник,
с собственными «настоящими»
ключами и подписями
РЕШЕНИЯ
Ключи удостоверяет третья сторона
«Удостоверяющий центр»
«Центр доверия»
Клиент
DNS-сервер
(персональный компьютер)
Иерархия доверия
ОПЯТЬ МЕТАФИЗИКА
Подписи удостоверяет третья
сторона
Требуется «главный ключ»
(Встроенный в ОС?)
Кому он достанется?
Кто подпишет корневую зону?
Иерархия доверия
ICANN, VeriSign — организации США.
Как быть с национальными сегментами?
Как быть с операционными системами
в эпоху «переноса деятельности в Web»
?
Главный «ключник»:
- отключит любого администратора зоны;
- жёстко контролирует изменения адресации.
РЕШЕНИЯ
Что же мы побороли с DNSSEC?
Отравление кеша
Fast flux
DNS rebinding
- ДА!
- НЕТ!
Проблемы
иной
природы
- НЕТ и НЕТ!
ОГРОМНЫЙ плюс: DNSSEC устраняет фундаментальный дефект DNS
— отсутствие механизма управления доверием
и проверки подлинности сведений.
ПЕРСПЕКТИВЫ
DNSSEC несёт многие новые проблемы:


(адреса+ключ+подпись)


DoS-атаки на серверы и на клиентов;
(дефектные «ответы» - требуют сложных проверок)


Повышенные требования к вычислительной мощности;
(криптографические вычисления — сложные, на много сложнее транзакций)


Увеличение трафика;
Новые «дыры», пока неизвестные.
(логика работы усложняется многократно; в OpenSSL уже обнаружили логический дефект)
ПЕРСПЕКТИВЫ
Новые способы использования DNS:
Домен TEL — контактная информация в записях NAPTR.
Новые приложения, обрабатывающие данные из DNS (книги
контактов и т.п.).
Новые приложения — новые уязвимости в клиентских системах.
DNS — получает минимум внимания от системных администраторов.
ВСЁ МЕНЯЕТСЯ — УЯЗВИМОСТИ ПОЯВЛЯЮТСЯ
ВОПРОСЫ?