Eind februari 2019, de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie die de IP-adressen en domeinnamen beheert die op internet worden gebruikt, waarschuwde voor de risico's van systemische internetaanvallen. Hier is wat u moet weten over wat er op het spel staat.

Wat is de DNS?

De Domain Name Service (DNS) koppelt een domeinnaam (bijvoorbeeld het domein ameli.fr voor Franse ziektekostenverzekering) naar een IP-adres (Internet Protocol), in dit geval "31.15.27.86"). Dit is nu een essentiële dienst, omdat het het gemakkelijk maakt om de identifiers van digitale diensten te onthouden zonder hun adressen te hebben. Nog, zoals veel eerdere soorten protocollen, het is ontworpen om robuust te zijn, maar niet veilig.

DNS definieert de gebieden waarbinnen een autoriteit vrij is om domeinnamen te creëren en deze extern te communiceren. Het voordeel van dit mechanisme is dat de associatie tussen het IP-adres en de domeinnaam nauw wordt beheerd. Het nadeel is dat er soms meerdere vragen nodig zijn om een ​​naam op te lossen, met andere woorden, koppel het aan een adres.

Veel organisaties die internetdiensten aanbieden hebben een of meerdere domeinnamen, die zijn geregistreerd bij de leveranciers van deze registratieservice. Deze dienstverleners zijn zelf geregistreerd, direct of indirect met ICANN, een Amerikaanse organisatie die verantwoordelijk is voor het organiseren van internet. In Frankrijk, de referentieorganisatie is de AFNIC, die het domein ".fr" beheert.

We verwijzen vaak naar een volledig gekwalificeerde domeinnaam, of FQDN. In werkelijkheid, het internet is opgedeeld in topleveldomeinen (TLD). De aanvankelijke Amerikaanse domeinen maakten het mogelijk om domeinen in te delen naar type organisatie (commercieel, Universiteit, regering, enzovoort.). Toen verschenen al snel nationale domeinen zoals ".fr". Recenter, ICANN heeft toestemming gegeven voor de registratie van een breed scala aan top-level domeinen. De informatie met betrekking tot deze top-level domeinen wordt opgeslagen in een groep van 13 servers verspreid over de hele wereld om betrouwbaarheid en snelheid in de reacties te garanderen.

Het DNS-protocol brengt communicatie tot stand tussen de computer van de gebruiker en een domeinnaamserver (DNS). Door deze communicatie kan deze nameserver worden opgevraagd om een ​​domeinnaam op te lossen, met andere woorden, het IP-adres verkrijgen dat is gekoppeld aan een domeinnaam. Door de mededeling kan ook andere informatie worden verkregen, zoals het vinden van een domeinnaam die is gekoppeld aan een adres of het vinden van de berichtenserver die is gekoppeld aan een domeinnaam om een ​​elektronisch bericht te verzenden. Bijvoorbeeld, wanneer we een pagina in onze browser laden, de browser voert een DNS-resolutie uit om het juiste adres te vinden.

Vanwege het gedistribueerde karakter van de database, vaak weet de eerste gecontacteerde server de associatie tussen de domeinnaam en het adres niet. Het zal dan contact opnemen met andere servers om een ​​antwoord te krijgen, via een iteratief of recursief proces, totdat het een van de 13 rootservers heeft opgevraagd. Deze servers vormen het root-niveau van het DNS-systeem.

Om een ​​wildgroei aan zoekopdrachten te voorkomen, elke DNS-server slaat de ontvangen reacties die een domeinnaam en adres koppelen een paar seconden lokaal op. Deze cache maakt het mogelijk om sneller te reageren als hetzelfde verzoek binnen korte tijd wordt gedaan.

Kwetsbaar protocol

DNS is een protocol voor algemene doeleinden, vooral binnen bedrijfsnetwerken. Het kan daarom een ​​aanvaller in staat stellen om hun beschermingsmechanismen te omzeilen om te communiceren met gecompromitteerde machines. Dit zou kunnen, bijvoorbeeld, de aanvaller in staat stellen de netwerken van robots (botnets) te controleren. De verdedigingsreactie is gebaseerd op het meer specifieke filteren van communicatie, bijvoorbeeld het systematische gebruik van een DNS-relay vereist die wordt beheerd door de slachtofferorganisatie. De analyse van de domeinnamen in de DNS-query's, die worden geassocieerd met zwarte of witte lijsten, wordt gebruikt om abnormale zoekopdrachten te identificeren en te blokkeren.

Het DNS-protocol maakt ook denial of service-aanvallen mogelijk. In feite, iedereen kan een DNS-query naar een service sturen door een IP-adres over te nemen. De DNS-server zal natuurlijk reageren op het valse adres. Het adres is in feite het slachtoffer van de aanval, omdat het ongewenst verkeer heeft ontvangen. Het DNS-protocol maakt het ook mogelijk om amplificatieaanvallen uit te voeren, wat betekent dat het verkeer dat van de DNS-server naar het slachtoffer wordt gestuurd veel groter is dan het verkeer dat van de aanvaller naar de DNS-server wordt gestuurd. Het wordt daardoor gemakkelijker om de netwerklink van het slachtoffer te verzadigen.

De DNS-service zelf kan ook het slachtoffer worden van een denial of service-aanval, zoals het geval was voor DynDNS in 2016. Dit leidde tot cascadestoringen, aangezien bepaalde diensten afhankelijk zijn van de beschikbaarheid van DNS om te kunnen functioneren.

Bescherming tegen denial of service-aanvallen kan verschillende vormen aannemen. De meest gebruikte vandaag is het filteren van netwerkverkeer om overtollig verkeer te elimineren. Anycast is ook een groeiende oplossing voor het repliceren van de aangevallen services indien nodig.

Cache-vergiftiging

Een derde kwetsbaarheid die in het verleden veel werd gebruikt, is om de koppeling tussen de domeinnaam en het IP-adres aan te vallen. Hierdoor kan een aanvaller het adres van een server stelen en het verkeer zelf aantrekken. Het kan daarom een ​​legitieme dienst "klonen" en gevoelige informatie van de misleide gebruikers verkrijgen:Gebruikersnamen, wachtwoorden, creditcardgegevens enz. Dit proces is relatief moeilijk te detecteren.

Zoals genoemd, de DNS-servers hebben de capaciteit om de antwoorden op de vragen die ze hebben gesteld een paar minuten op te slaan en deze informatie te gebruiken om direct op de volgende vragen te reageren. De zogenaamde cache-vergiftigingsaanval stelt een aanvaller in staat om de koppeling binnen de cache van een legitieme server te vervalsen. Bijvoorbeeld, een aanvaller kan de tussenliggende DNS-server overspoelen met vragen en de server accepteert het eerste antwoord dat overeenkomt met zijn verzoek.

De gevolgen duren maar even, de vragen die naar de gecompromitteerde server worden gestuurd, worden omgeleid naar een adres dat wordt beheerd door de aanvaller. Aangezien het initiële protocol geen middelen bevat om de domein-adresassociatie te verifiëren, de klanten kunnen zich niet beschermen tegen de aanval.

Dit resulteert vaak in internetfragmenten, waarbij klanten die communiceren met de gecompromitteerde DNS-server worden omgeleid naar een kwaadaardige site, terwijl klanten die met andere DNS-servers communiceren, naar de oorspronkelijke site worden gestuurd. Voor de originele site, deze aanval is vrijwel onmogelijk te detecteren, behalve een afname van de verkeersstromen. Deze afname van het verkeer kan aanzienlijke financiële gevolgen hebben voor het gecompromitteerde systeem.

Beveiligingscertificaten

Het doel van de beveiligde DNS (Domain Name System Security Extensions, DNSSEC) is om dit type aanval te voorkomen door de gebruiker of tussenliggende server de associatie tussen de domeinnaam en het adres te laten verifiëren. Het is gebaseerd op het gebruik van certificaten, zoals die worden gebruikt om de geldigheid van een website te verifiëren (het kleine hangslot dat in een browserwebbalk verschijnt). In theorie, een verificatie van het certificaat is alles wat nodig is om een ​​aanval te detecteren.

Echter, deze bescherming is niet perfect. Het verificatieproces voor de "domein-IP-adres"-koppelingen blijft onvolledig. Dit komt mede doordat een aantal registers niet de benodigde infrastructuur heeft aangelegd. Hoewel de standaard zelf bijna vijftien jaar geleden werd gepubliceerd, we wachten nog steeds op de inzet van de nodige technologie en structuren. De opkomst van diensten zoals Let's Encrypt heeft geholpen om het gebruik van certificaten te verspreiden, die nodig zijn voor veilige navigatie en DNS-bescherming. Echter, het gebruik van deze technologieën door registers en dienstverleners blijft ongelijk; sommige landen zijn verder gevorderd dan andere.

Hoewel er nog steeds kwetsbaarheden zijn (zoals directe aanvallen op registers om domeinen en geldige certificaten te verkrijgen), DNSSEC biedt een oplossing voor het type aanvallen dat onlangs door ICANN is afgekeurd. Deze aanvallen zijn gebaseerd op DNS-fraude. Om preciezer te zijn, ze vertrouwen op de vervalsing van DNS-records in de registerdatabases, wat betekent dat ofwel deze registers gecompromitteerd zijn, of ze zijn doorlaatbaar voor de injectie van valse informatie. Deze wijziging van de database van een register kan gepaard gaan met de injectie van een certificaat, als de aanvaller dit heeft gepland. Hierdoor is het mogelijk om DNSSEC te omzeilen, in het slechtste geval.

Deze wijziging van DNS-gegevens impliceert een fluctuatie in de domein-IP-adresassociatiegegevens. Deze fluctuatie kan worden waargenomen en mogelijk alarmen activeren. Het is dus moeilijk voor een aanvaller om volledig onopgemerkt te blijven. Maar aangezien deze fluctuaties regelmatig kunnen voorkomen, bijvoorbeeld wanneer een klant van provider verandert, de supervisor moet uiterst waakzaam blijven om de juiste diagnose te stellen.

Getargete instellingen

In het geval van de door ICANN aan de kaak gestelde aanvallen, er waren twee belangrijke kenmerken. Allereerst, ze waren enkele maanden actief, wat inhoudt dat de strategische aanvaller vastberaden en goed uitgerust was. Ten tweede, ze richtten zich effectief op institutionele sites, wat aangeeft dat de aanvaller een sterke motivatie had. Het is daarom belangrijk om deze aanvallen van dichtbij te bekijken en de mechanismen te begrijpen die de aanvallers hebben geïmplementeerd om de kwetsbaarheden te verhelpen, waarschijnlijk door goede praktijken te versterken.

ICANN's promotie van het DNSSEC-protocol roept vragen op. Het moet duidelijk breder worden. Echter, er is geen garantie dat deze aanvallen zouden zijn geblokkeerd door DNSSEC, zelfs niet dat ze moeilijker uitvoerbaar zouden zijn geweest. Er is aanvullende analyse nodig om de status van de beveiligingsdreiging voor het protocol en de DNS-database bij te werken.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.