Снижение угроз в системах корневых серверов

Оригинальная статья

Введение

Система доменных имен (DNS) системы корневых серверов (RSS) является важной частью интернет-инфраструктуры. Почти все службы в сети Интернет полагаются на способность разрешать имена и адреса в глобально уникальном пространстве DNS. RSS – первый шаг на пути процесса разрешения, и его безопасность может затронуть всех Интернет-пользователей. Организации, входящие в группу операторов корневых серверов (RSO), признают важность безопасности и ее роль в поддержке сети Интернет. В этом документе описываются существующие риски безопасности RSS и общие способы их снижения. Доступность и целостность данных корневой зоны в настоящее время являются первоочередными задачами, которые стоят перед системой корневых серверов. Второй задачей выступает конфиденциальность, но ее решением занимаются уже другие люди (к примеру, рабочая группа DPRIVE Инженерного совета Интернета (IETF)). RSO признают, что RSSAC001 является юридически действительным документом, регулирующим адекватность, доступность, возможности, эксплуатационную безопасность и разнообразие реализации. Разнообразие RSO в рамках RSS позволяет RSO на независимой основе использовать собственные стратегии снижения угроз и рисков различных атак. Они сами решают, делиться ли такими методами с сообществом корневых операторов, чтобы они могли их протестировать и в дальнейшем использовать.

Угрозы в системах корневых серверов

В разделах ниже мы расскажем об угрозах RSS и мерах по их снижению.

Атаки типа “отказ в обслуживании” (DoS) на пропускную способность сети

В последнее время DoS-атаки стали еще больше влиять на пропускную способность сети систем, и их доля продолжает расти. Сложная глобальная DoS-атака легко может перегрузить любую систему в сети Интернет. RSS обладают значительной доступной пропускной способностью, но и эти системы не обладают иммунитетом от DoS-атак. Стратегия снижения угроз RSS основана на развертывании сотен экземпляров корневых серверов у различных провайдеров по всему миру. RSS в значительной степени соответствует принципу anycast (метод рассылки пакетов, позволяющий устройству посылать данные ближайшему из группы получателей) и большинство операторов располагают десятками или сотнями восходящих провайдеров и частных пиров. Это помогает «локализовать» атаки и ограничить их воздействие на источники трафика, а также позволяет операторам или Интернет-провайдерам отслеживать источники мошеннического трафика и направлять потоки, пытаясь свести к минимуму влияние на Интернет в целом («черная дыра»). Описанные меры означают, что корневому серверу не нужно обрабатывать полную пропускную способность атаки. Тем не менее, такие меры по предотвращению или снижению рисков могут влиться в частичную потерю законного трафика, как минимум на региональном уровне.

DoS-атаки на ресурсы ЦП/памяти

DoS-атаки на ЦП или использование памяти отдельными корневыми серверами также представляют угрозу. Несмотря на то, что многие экземпляры корневых серверов являются «массивными» машинами с достаточным количеством ресурсов ЦП и памяти, они тем не менее уязвимы для атак. Репликация RSS несколькими операторами и тысячами машин значительно сокращает этот риск. Причем воздействие любой такой атаки, вероятно, будет локализовано в конкретном регионе из-за широкого использования Anycast. Проверки работоспособности и мониторинг системы с помощью RSO позволяют быстро обнаруживать DoS-атаки на ЦП и память. Кроме того, можно предпринимать действия (иногда автоматические) для фильтрации нарушающего нормальную работу трафика аналогично тем, что касаются атак на пропускную способность, или повторно инициализировать процессы для снижения исчерпания ресурсов ЦП или памяти.

Повышение протоколов или безопасности

По мере развития Интернета эволюционируют также протоколы и угрозы безопасности. Новые изменения и расширения протокола DNS повышают сложность и требования к обработке, если они реализованы в системе корневых серверов. Такие модули безопасности, как DNS поверх HTTP (DoH) и DNS поверх TLS (DoT) будут смещать трафик RSS в сторону TCP с дополнительными издержками производительности на криптографические операции и парсинг протоколов. Повышение потребности в ресурсах для поддержания повышения протоколов будут оказывать негативное влияние на текущую инфраструктуру RSS. Проводятся исследования для оценки влияния известных изменений протокола, и RSO тщательно анализируют, какие расширения протоколов следует поддерживать, и использует эту информацию, чтобы помочь спланировать обновление оборудования и сети. Некоторые RSO спонсируют разработку основного программного обеспечения DNS для оптимизации использования ресурсов, а также более эффективной фильтрации недействительного или поврежденного трафика.

Целостность данных

Целостность данных DNS в достаточной степени обеспечивается развертыванием в корневой зоне DNSSEC (RFC4033-4035, RFC4509). Администратор корневой зоны (RZA) и ее сопроводитель (RZM) несут совместную ответственность за управление ключами защиты. Хотя развертывание проверки DNSSEC в сети Интернет нельзя провести в полной мере, ожидается, что в процессе распознаватели достоверности обнаружат нарушения целостности данных, ответы с неправильными подписями будут отброшены, и подобная активность будет открыто обнародована как значительная угроза. Мы продолжаем содействовать проверке DNSSEC и надлежащему поддержанию «точки доверия» в качестве решения данной конкретной угрозы. Группы RSO согласны, что Администрация адресного пространства Интернет (IANA) является единственным истинным источником информации о корневой зоне, а криптографическая аутентификация и проверка целостности выполняются при любых обновлениях и переносах зоны. Операторы проводят валидационные измерения, чтобы убедиться, что обслуживается правильный серийный номер зоны. Целостность передачи зон между корневыми серверами защищена подписями операций DNS (TSIG), где предусмотрена регулярная смена ключей.

Компрометация DNSKEY

Мы полагаем, что установленные IANA и RZM методы защиты DNSKEY достаточно качественные и поэтому компрометация секретного ключа DNSKEY в корневой зоне является маловероятной. Операторы корневой зоны будут активно участвовать в предстоящих обсуждениях будущих проверок DNSKEY и намерены укрепить нашу веру в оперативную обработку материалов DNSKEY. Подробную информацию о принципах и процедурах поддержания материала для создания ключей шифрования корневой зоны можно найти по ссылке: https://www.iana.org/domains/root.

Потеря/компрометация оператора

В RSSAC021 обсуждается потеря одного RSO. Операторы корневых серверов соглашаются с представленными оценками. В частности, мы полагаем, что текущий набор идентификаторов значительно переоценивает необходимость обеспечения способности DNS-преобразователей связываться хотя бы с одним принимающим корневым сервером DNS. Мы рассматриваем угрозу “компрометации” отдельного оператора как неспособность организации следовать принципам, изложенным в RSSAC037. Указанные принципы включают работу с целостностью и этикой, оставаясь при этом нейтральными и беспристрастными, а также сотрудничество и привлечение групп влияния внутри сообщества. Обнаружение скомпрометированного RSO осуществляется с помощью автоматических Интернет-измерений (на предмет целостности данных) и открытых процессов ICANN. RSSAC037 предлагает для RSO такую модель управления, которая позволит добавлять их или удалять. Когда указанная модель будет доработана и реализована, она станет механизмом для работы с потенциально скомпрометированным оператором.

Компрометация ПО и системы

Отдельные системы корневых серверов и, следовательно, весь канал RSS уязвимы для ошибок и угроз безопасности ПО сервера имен, а также ОС, на которых они работают. Несмотря на то, что большинство RSO используют небольшой набор хорошо известных исполнений проверенных серверов, вероятность ошибок, представляющих угрозу безопасности, все еще существует. Чтобы с этим бороться, операторы индивидуально выбирают исполнения. Таким образом, весь набор RSS представляет собой различные используемые варианты исполнения. Разнообразие серверного обеспечения ограничивает риски багов ПО для RSS. То же происходит и в отношении ОС, на которых работают серверы. Каждый оператор может выбирать собственную базовую ОС или запускать разные ОС на разных машинах. Лучший современный опыт обеспечения безопасности ОС реализован для всех экземпляров RSS, а системы обычно предназначены для работы в качестве корневых серверов. Операторы тщательно контролируют проверку работоспособности и статуса систем с целью наиболее оперативного выявления и устранения любых проблем. Все организации корневых серверов используют резервные серверы для балансировки нагрузки и обеспечения высокого уровня доступности.

Для инфраструктуры, на которую опираются корневые серверы (например, физическое оборудование, питание, охлаждение, физическая защита и сетевая связность, отвечающая за соединение с Интернетом), существуют и дополнительные угрозы. Большинство экземпляров корневых серверов защищены ввиду значительных инвестиций, которые организации вкладывают в физическую инфраструктуру: физическую защиту, бесперебойные источники питания, охлаждение компьютерных залов, отказоустойчивые сетевые устройства и оборудование для резервного копирования. Тем, где эти меры предосторожности недоступны, для диверсификации таких требований используется массивное системное резервирование. Благодаря такому резервированию отказ питания/охлаждения/сети и т.д. на одном объекте не влияет на доступность всего корневого сервера.

Перехват корня

Интернет в целом критически зависит от успешной работы глобальной таблицы маршрутизации, которая в настоящее время согласовывается через протокол внешней маршрутизации (BGP). IETF потратили значительные средства на разработку технологий безопасной маршрутизации (в частности, RPKI и BGPsec), но их развертывание еще не повсеместно. Некоторые операторы использовали RPKI для укрепления собственной инфраструктуры. Тем не менее, существуют потенциальные риски с централизованным контролем RPKI. Таким образом, мы считаем, что для некоторых операторов разумно внедрить RPKI, в то время как другие могут подождать до полной отработки протокола, тогда можно будет полностью осознать и нивелировать все риски. Перехват корневых маршрутов – довольно редкая проблема, но не стоит недооценивать эту угрозу для многих Интернет-сервисов, адресные пространства корневых серверов. Однако, такие проблемы часто отслеживают, быстро обнаруживают и используют средства устранения для противодействия потенциальным перехватам. RSO публикуют конкретный маршрут, который укладывается в рамки глобальной политики маршрутизации и делает перехват чуть более сложной задачей.

Ввиду массированной произвольной адресации (anycasting) длина маршрута BGP до легитимного экземпляра корневого сервера обычно довольно мала, что затрудняет перехват маршрутов до экземпляра корневого сервера в больших разделах сети Интернет. Наилучшей защитой от перехвата служит использование проверки DNSSEC, которая с легкостью обнаруживает поддельные данные DNS и делает их бесполезными.

Человеческие факторы

Каждая группа RSO применяет собственный план обеспечения непрерывности деятельности (COOP) в отношении персонала. В него могут входить такие правила, как перелеты разными рейсами или в разные дни недели, а также «дежурные» часы. Мы осознаем важность доверия, ценности и опыта наших сотрудников и учитываем эти человеческие факторы в процессе работы. Независимость и разнообразие COOP, применяемых в среде RSO, помогает гарантировать неуязвимость RSS для отдельных атак на персонал.

Полная немедленная компрометация доступности системы корневых серверов

Если бы все экземпляры всех корневых серверов мгновенно стали недоступными, Интернет бы, тем не мене, не пропал мгновенно. Использование кэширования рекурсивными распознавателями будет сохранять доступ к некоторой информации корневой зоны до истечения предписанного времени жизни (TTL) кэшированных записей. Если недоступной становится вся RSS, то ситуация сначала будет очевидна тем распознавателям, у которых не было кэшированных записей в корневой зоне, и только вскоре после этого – тем, у которых были необходимые записи в кэше, и которые вот-вот должны были стать недействительными. Если RSS полностью недоступна в течение длительного времени, ожидается, что глобальный набор рекурсивных распознавателей начнет линейно выходить из строя в течение времени TTL записи корневой зоны (на данный момент это 48 часов). Количество затронутых таким отключением пользователей Интернета будет примерно пропорционально числу отказавших кэширующих распознавателей.