DNSSEC выбирают все чаще, но поддерживают неверно

Хотя компании начинают осваивать стандарт Domain Name System Security Extensions (DNSSEC) чтобы обезопасить свои веб-сайты, они зачастую внедряют и используют его некорректно. К таким выводам пришла компания Infoblox по результатам проведенного ею исследования.

Как сообщил еженедельнику eWeek вице-президент Infoblox по компьютерной архитектуре Крикет Лиу, ежегодный обзор инфраструктуры серверов доменных имен в Интернете — это по сути перепись имен серверов. В ходе исследования, по словам Лиу, было идентифицировано 15,6 млн. серверов, относящихся только к доменам .org, .com и .net.

Хотя по сравнению с 2009 г. использование DNSSEC резко подскочило (на 340% ), реальное количество доменных зон, подписанных в соответствии с этим стандартом, составляет, согласно результатам исследования, все еще менее 1%.

По словам Крикета Лиу, с учетом того, что организации столкнулись с рядом проблем при установке DNSSEC на своих DNS-серверах, то, что подписанными реально оказались 0,022% доменных зон, можно считать неожиданно высоким показателем и в то же время очевидным индикатором того, что сервера конфигурировались и настраивались неверно. В 2009 году этот показатель был даже хуже — подписанными оказались всего 0,005% зон.

DNSSEC является набором ИБ-расширений для аутентификации данных на DNS-серверах, гарантирующим подлинность веб-серверов, к которых подключаются пользователи, а также то, что они не содержат посторонние злонамеренные включения.

Как считает Крикет Лиу, без внедрения DNSSEC компании оказываются уязвимы в Вебе. Например, в случае атак типа DNS cache poisoning (засорение кэша DNS) кибер-преступники направляют пользователей без их ведома на подставные веб-сайты (как это случилось, например, в начале этого года с сайтом “Лаборатории Касперского”).

Из трех исследованных доменов верхнего уровня (TLD) сайты домена .org продемонстрировали наиболее высокий показатель внедрения DNSSEC, поскольку в начале текущего года этот TLD-домен сам начал поддерживать DNSSEC. Американская компания VeriSign, поддерживающая домены первого уровня .com, .net и некоторые другие, обещает в ближайшее время проверить домен .net, а для .com планирует сделать это весной 2011 года. Как говорит Крикет Лиу, ситуация улучшается, и в следующему году аналогичное исследование должно дать лучшие результаты.

По словам Крикета Лиу, домены зоны .gov, проверенные в рамках разных исследований, имеют довольно высокий по сравнению с соседними доменами показатель соответствия DNSSEC — 20%.

Однако, как показало исследование фирмы Infoblox, из того малого числа зон, которые зарегистрированы на соответствие DNSSEC, 23% не прошли проверку из-за окончания срока действия подписи. В Infoblox считают, что если автоматизировать процесс развертывания и переоформления подписи DNSSEC, этот показатель уменьшится.

Развертывание DNSSEC во многих случаях идет с ошибками, и, как показало исследование, только 81,4% серверов допускали TCP-запросы, а 26,4% не поддерживают механизм расширения DNS, получивший название EDNS0. По словам Лиу, для соответствия DNSSEC требуется и то, и другое.

Несмотря на предупреждения об уязвимости DNS и богатую историю, связанную с непроизводительными потерями из-за несогласованностей в DNS, организации все еще не относятся к безопасности DNS серьезно, считает Крикет Лиу.

Большая часть внедрений DNSSEC была выполнена как научные проекты — компании брали стандарт для тестирования, чтобы только ознакомиться с ним. Несмотря на это исследование принесло ряд положительных новостей. Так, количество серверов, поддерживающих расширение протокола отправки электронной почты SMTP Sender Policy Framework (SPF), которое предназначено для обнаружения и изъятия спама, увеличилось с 12,2% до 15,9%. Число серверов с ошибками в конфигурировании, которые позволяют изменять принадлежность к зоне и подвергать их DoS-атакам (отказ в обслуживании), сократилось с 15,8% до 11,3%.

Ряд экспертов поднимают тревогу по поводу недостаточной безопасности DNS. Крейг Лабовиц, руководитель исследовательских работ в компании Arbor Networks, говорит, что интернет-трафик маршрутизируется по принципу изначального доверия и не имеет стандартов безопасности. Он считает, что мир находится в подвешенном состоянии до первого серьезного инцидента. “Сегодня мы как никогда нуждаемся в предотвращении криминала, возможного из-за разрушительного хаоса в онлайновом бизнесе. Наряду с данными о недавних утечках, результаты исследования фирмы Infoblox должны быть сигналом к пробуждению для упорядочения ситуации в онлайне. Компании нуждаются в доступе к существующей инфраструктуре DNS и в немедленных действиях для обеспечения ее безопасности”, — считает Крикет Лиу.

В Infoblox считают, что ИТ-администраторам следует обновить BIND до наиболее свежей версии, разделить внутренние и внешние серверы, разделить серверы авторизации и рекурсивные серверы доменных имен друг от друга, рандомизировать порты, чтобы защитить их от атак типа cache poisoning. Опрос выявил ряд зон с, по меньшей мере, одним сервером доменных имен, поддерживающим протокол IPv6.

“2011 год должен стать годом распространения DNSSEC, в противном случае компаниям некого будет винить, кроме самих себя, когда они окажутся в числе пострадавших”, — считает Крикет Лиу.