DNSSEC: müüt või tegelikkus? Osa 2: Eesmärgid ja tulevik
Antud blogipostitus on 124 kuud vana ning ei pruugi olla enam ajakohane.
See on teine postitus seeriast, mille eesmärk on tutvustada DNSSEC ajalugu, tulevikku, nõrkusi ja tugevusi.
Eelmises selle seeria postituses peatusin sellel, miks on DNSSEC hetkel Eestis aktuaalne ja milline on olnud selle aktuaalseks muutumise lugu ajateljel. Teie ees olevas kirjatükis tahan põhjalikumalt kirjeldada seda, miks on DNSSEC interneti jaoks täna olulisem kui varem ja milliseid täiendavaid võimalusi loob selle kasutuselevõtt tulevikus.
Kui mäletate, siis DNSSEC kasutuselevõtu peamise eesmärgina kirjeldasin seda, et inimese arvutil või tema ühendusepakkuja serveril, saab olema võimalus kontrollida, kas DNS päringu vastus tuleb õigest kohast.
Miks see oluline on? Tuletame meelde, et interneti juured on suuresti akadeemilises keskkonnas, mille turvanõuded olid radikaalselt erinevad nendest, millega kaasaegses, globaalses “võrkude võrgus” peab arvestama. Seetõttu peavad kõik aastakümneid tagasi kasutusele võetud tehnoloogiad, nagu DNS, pidevalt minetama oma algse disaini heatahtlikku naiivsust, et arvestada uute ohtude ja kasvavate riskidega.
Spuufimise vastane kaitse
Üks suurimaid ohte DNS-i kasutajatele on süsteemis ringlevate andmete terviklikkuse kaotamine. Kui see toimub ründe tagajärjel, on kurjategija eesmärk reeglina muuta süsteemis liikuvaid andmeid temale soodsal moel. Näiteks panna mõne suure sideettevõtja DNS server uskuma, et www.suurpank.ee veebiserver asub IP-aadressi 192.0.2.1 asemel kurjategija enda serveris IP-aadressiga 203.0.113.1.
Sellist rünnakut nimetatakse spuufimiseks. Kui see peaks õnnestuma, on kurjategijal teoreetiliselt võimalik varastada hulk Suurpanga klientide salasõnu ja muid konfidentsiaalseid andmeid.
Lihtsustatult toimub see nii, et kurjategija pommitab sideettevõtja DNS serverit pidevalt võltsitud vastustega küsimusele “milline on www.suurpank.ee IP-aadress?”. Need vastused sisaldavad kurikaela serveri IP-aadressi 203.0.113.1. Tema arvestus on, et sideettevõtja DNS server peab seda väga suure tõenäosusega perioodiliselt internetist küsima. Kui kurjategija poolt koostatud vastus satub “õigel hetkel õigesse kohta”, siis võib vastuseid usaldav DNS server saadud andmeid tõe pähe võtta ja neid oma kasutajatele edastama hakata. Kurjategija rünnak on seega olnud edukas.
Teine võimalik rünnak on teenustõkestusrünnak. Kurjategija suunab www.suurpank.ee mitte-töötavale IP-aadressile, näiteks 127.0.0.1 või eemaldab näiliselt vastava DNS kirje suurpank.ee nimeserveritsoonist üldse. Kui sideettevõtja server seda “usub”, ei ole pank tulemusena klientidele enam kättesaadav.
DNSSEC korrektse kasutuselevõtu järel on kurjategija töö mitme suurusjärgu võrra keerulisem, kui mitte praktiliselt võimatu. Sideettevõtja DNS server pärib ka edaspidi internetist perioodiliselt andmeid www.suurpank.ee kohta, kuid kontrollib lisaks sellele, kas vastus saabub õigesse “kohta”, ka seda, kas vastuse on krüptograafiliselt allkirjastanud keegi, kes tegelikult www.suurpank.ee eest vastutab. Kui vastusel korrektset allkirja ei ole, siis seda arvesse ei võeta ja rünnak on neutraliseeritud.
DNS spuufimine ei ole täna väga laialt levinud ründemeetod. Tõenäoliselt suuresti seetõttu, et leidub lihtsamaid meetodeid nii väärtuslike andmete varastamiseks kui ka teenustõkestusrünnete elluviimiseks. Mida paremaks muutub aga üldine turvalisus, seda ihaldusväärsemaks muutuvad seni ignoreeritud ründevektorid nagu DNS.
DNSSEC lisab ka täiendavaid turvamehhanisme DNS serverite vahelisse sisemisse suhtlusesse. Näiteks TSIG (Transaction Signatures) protokolli, mis turvab tsoonide liigutamist organisatsiooni serverite vahel ja dünaamilisi uuendusi tsoonides, kuid nende mõju ei ole avalikku internetti arvestades ehk enam nii suur kui spuufimise vastased kaitsemehhanismid.
Rääkides ohtudest DNS süsteemile tuleb siiski kindlasti ära märkida, et kõikide ohtude ja rünnete vastu DNSSEC loomulikult ei aita.
Nii pole sellest suuremat kasu teenuse käideldavust mõjutavate ohtude korral, nagu seda on hajutatud teenustõkestusründed. Samuti pole DNSSEC-ist suurt kasu andmete konfidentsiaalsuse tagamisel, kuna DNS teenuse kaudu levitatavaid andmeid loetakse reeglina avalikeks.
Samuti ei pruugi DNSSEC aidata olukorras, kus keegi on kompromiteerinud domeeniomaniku arvuti ja suhtluse registripidajaga (või registriga). Sellisel juhul võib kurjategijal olla võimalik muuta DNS andmeid nii, et need näivad hoolimata DNSSEC-ist ülejäänud maailma jaoks korrektsetena, kuna kurjategija allkirjastab need ise, kasutades domeeniomaniku võtmeid.
Tulevikku vaatavad võimalused
Eelnevalt kirjeldatud riskide maandamisele lisaks on DNSSEC tehnoloogial tulevikus potentsiaalselt täita veel olulisi rolle. Üks peamiseid saab tõenäoliselt olema domeeninimede ja andmeturbe eesmärkidel kasutatavate avalike krüptovõtmete vaheliste seoste loomine väljaspool DNS süsteemi asuvate ressursside või teenuste jaoks.
Sellesuunalist tegevust veab hetkel IETF (Internet Engineering Task Force) töörühm nimega DANE (DNS-based Authentication of Named Entities). Kui nende projektid osutuvad edukateks, siis võib DNSSEC tulevikus kanda informatsiooni SMTP serverite, veebiserverite ja VoIP-i turvavõtmete ning isegi individuaalsete e-posti aadresside PGP võtmete kohta.
See võib näiteks turvasertifikaatide hinnad oluliselt odavamaks muuta, kuna kasutaja enda allkirjastatud sertifikaatide autentsust on siis võimalik kontrollida DNS vahendusel.
Selline võimalus on tehnoloogide jaoks kindlasti atraktiivne, kuid hetkel on vastavad standardid alles välja kujunemas ning nende laiemasse kasutusse jõudmine võtab ilmselt aastaid.
Lahtiütlus: Zone osaleb Eesti Interneti Sihtasutuse poolt kokku kutsutud DNSSEC Ekspertgrupis ja Registripidajate Töögrupis.
Seeria esimene postitus: https://www.zone.ee/blogi/2013/10/23/dnssec-osa-1-hetkeseis/