Security vulnerabilities in DNS and DNSSEC

Security vulnerabilities in DNS and DNSSEC

DNS adalah mekanisme standar untuk nama untuk Resolusi alamat IP. 

DNS Infrastruktur

DNS menerjemahkan nama domain ke alamat IP, dan dan sebaliknya. DNS diimplementasikan sebagai didistribusikan secara global Database mendukung struktur hirarkis. Sebuah en- klien Tity dikenal sebagai penyelesai bertindak atas nama klien dengan mengirimkan pertanyaan ke, dan menerima tanggapan dari, DNS server. Tanggapan mengandung Resource Records (RRS) berisi nama / alamat resolusi yang diinginkan informasi. Ketersediaan dan kinerja DNS ditingkatkan melalui replikasi dan caching-mekanisme NISM. Sebuah penjelasan rinci tentang operasi DNS dapat ditemukan dalam banyak buku. Ruang nama DNS diatur secara hierarkis. SEBUAH domain adalah subtree dari ruang nama. Tingkat atas domain (TLD) adalah orang-orang langsung di bawah akar. Sebuah domain dipecah menjadi unit yang lebih kecil yang disebut zona.

Resolusi Query DNS

Sebuah server nama dapat beroperasi dalam dua mode, rekursif atau berulang. Sebuah query recursive dikirim dengan RD (Recursion Diinginkan) flag ditetapkan untuk di dalam header permintaan DNS. Dalam modus rekursif nama server pencarian melalui Hirarki DNS dalam menanggapi pertanyaan dan kembali baik kesalahan atau jawabannya, tapi tidak pernah rujukan ke nama lain server. Untuk pertanyaan berulang, Operating name server bertanya dalam mode berulang berkonsultasi database sendiri untuk data yang diminta. Jika tidak dapat menemukan jawabannya, biasanya memberikan alamat IP dari server nama terdekat yang mungkin tahu hasilnya. Klien mengulangi permintaan, kali ini mengirimnya ke server hanya belajar tentang. Secara default, query untuk nama akar server berulang.

Packet Sniffing

DNS mengirimkan seluruh permintaan atau respon dalam tunggal ditandatangani, tidak terenkripsi paket UDP, yang membuatnya mudah mengutak-atik. Dengan menangkap paket-paket permintaan DNS, suatu jawaban yang salah dapat dihasilkan cukup cepat untuk mencapai penyelesai sebelum jawaban yang benar dari server nama. Mengorbankan router pada jaringan angkutan memungkinkan penyerang untuk menangkap paket DNS Balas dari nama server dan memodifikasinya. Karena tidak ada otentikasi sumber atau data pemeriksaan integritas yang didukung, ini tidak akan terdeteksi oleh resolver.

Masalah Caching

Melalui penggunaan cache, pengorbanan DNS ketidak mendukung berkurang waktu akses. DNS caching menimbulkan kekhawatiran tentang inkonsistensi cache dan staleness data. Informasi basi mungkin termasuk keamanan penting informasi, misalnya kunci dikompromikan. DNS saat ini protokol tidak mendukung cara apapun untuk menyebarkan data yang update atau invalidations ke server DNS atau cache di cepat dan aman cara.

Cache Poisoning menggunakan Nama Chaining

Serangan ini memperkenalkan informasi palsu dalam DNS cache. Hal ini dicapai dengan cara DNS RRS yang Bagian RDATA termasuk nama DNS yang dapat digunakan sebagai kail untuk membiarkan penyerang feed data buruk menjadi victim Cache. Jenis yang paling terkena dampak dari RRS adalah CNAME, NS, dan DNAME RRS. Data palsu, terkait dengan nama-nama ini, dapat di diproyeksikan ke dalam victimâ € ™ s tembolok melalui bagian lain dari respon. Sebuah Penyerang dapat memperkenalkan sewenang-wenang Nama-nama DNS dari attackerâ € ™ s memilih, dan memberikan Fur- Informasi ther yang diklaim terkait dengan nama-nama.

serangan DDoS

Serangan DDoS dapat memiliki dampak yang signifikan pada Database DNS global dan penggunanya. Mereka biasanya diarahkan pada root server. Hal ini terbukti dengan kembali yang

DDoS persen serangan pada bulan Juni 2004, yang mengulang dari serangan serupa pada Oktober 2002. serangan ini menyebabkan hilangnya ketersediaan layanan resolusi nama untuk komunitas internet.

exten- Keamanan Domain Name System aksesi (DNSSEC)

DNSSEC menambah keamanan untuk protokol DNS dengan promasi otentikasi asal, integritas data dan melakukan otentikasi penolakan ticated keberadaan data DNS yang disediakan oleh nama Server. Semua jawaban dari server DNSSEC adalah Digital pada Itally ditandatangani. Dengan memeriksa tanda tangan, sebuah DNSSEC resolver mampu memeriksa apakah informasi yang berasal dari server yang sah dan data yang identik dengan data pada server DNS otoritatif. Jika data tidak hadir di server suatu penolakan dikonfirmasi diproduksi. Untuk menjaga kompatibilitas dengan DNS, DNSSEC hanya membutuhkan sedikit perubahan ke DNS protocol. DNSSEC menambahkan empat jenis catatan DNS, yaitu Rekam sumber daya Signature (RRSIG), DNS Public Key (DNSKEY), Delegasi Signor (DS), dan Next Aman (NSEC). DNSSEC menggunakan dua dari sebelumnya tidak terpakai flag bit dalam query DNS dan pesan jawaban sundulan (AD dan CD). AD (Authentic Data) sedikit di ulang sebuah tanggapan menunjukkan bahwa semua data termasuk dalam jawabannya dan sebagian kewenangan respon telah melakukan otentikasi ticated oleh server. CD (memeriksa cacat) bit menunjukkan bahwa data yang tidak berkepentingan dapat diterima dengan resolver mengirimkan query. Karena proto UDP col memiliki batas ukuran paket dari 512 bit, DNSSEC membutuhkan penggunaan EDNS0 ekstensi yang menimpa lim- ini itation, sehingga ukuran kunci yang lebih besar dapat ditampung. DNSSEC menambahkan kemampuan untuk mendeteksi serangan MITM di DNS melalui penambahan otentikasi asal data, transaksi dan permintaan otentikasi, tetapi DNSSEC tidak mencegah serangan tersebut. Untuk menjaga data yang origin keaslian dan integritas, kedua server dan resolvers harus menggunakan protokol DNSSEC.

Keys di DNSSEC

Setiap zona aman memiliki sepasang kunci, terdiri dari zona kunci pribadi dan kunci publik yang sesuai. Zona kunci publik disimpan sebagai catatan sumber daya (jenis KEY) di zona aman. Kunci publik digunakan oleh server DNS dan Resolver untuk memverifikasi zoneâ € ™ s tanda tangan digital. Semua catatan sumber daya di zona aman yang ditandatangani oleh yang zoneâ € ™ s kunci pribadi.Untuk membuat zona re-penandatanganan dan kunci roll-overs lebih mudah untuk menerapkan, adalah mungkin untuk menggunakan satu atau lebih tombol sebagai Keys Penandatanganan Key (KSKs). Sebuah KSK hanya akan digunakan untuk menandatangani tingkat atas RRS KUNCI dalam daerah. Zona Penandatanganan Keys (ZSKs) digunakan untuk menandatangani semua RRsets di zona.

SUMBER: Security vulnerabilities in DNS and DNSSEC

DNS: Types of attack and security techniques

DNS: Types of attack and security techniques

DNS (Domain Name System), komponen kunci dari Internet infrastruktur

Dalam dunia sekarang ini, internet sangat penting untuk kedua ekonomi dan masyarakat. Infrastruktur ini sangat didistribusikan dan rumah bagi berbagai pemain, seperti ISP, Internet pertukaran poin dan jaringan jalur akses, operator telekomunikasi, penyedia layanan hosting dan pendaftar. Mereka semua memainkan peran penting dalam bagaimana Internet beroperasi, dan masing-masing dihadapkan dengan spesifik

berbagai ancaman. Sebuah blok bangunan penting dari Internet adalah DNS atau Domain Name System. Akronim ini sebenarnya menyembunyikan berbagai macam infrastruktur teknis, perangkat lunak dan hardware yang dibutuhkan untuk sistem nama domain untuk berfungsi dengan benar, yang pada gilirannya memungkinkan pengguna untuk mengakses website dan pertukaran e-mail. Sejak diluncurkan pada tahun 1980, ini sangat kasar Sistem belum mengalami masalah besar. Namun, itu adalah rentan terhadap kelemahan tertentu yang melekat dalam desain, pengembangan bentuk-bentuk baru dari serangan dan diketahui kerentanan. Publikasi fitur ini memberikan gambaran tentang tantangan dalam memastikan operasi yang benar dari DNS, serangan yang paling sering ditemui dan teknik keamanan utama.

DNS:jenis dari menyerang dan keamanan teknik

Presentasi dari DNS (Domain Name System) Jenis utama dari serangan menargetkan DNS dan nama domain keamanan utama teknik DNS ini disusun dalam suatu struktur pohon terbalik, dengan "akar" yang berbeda "cabang" tergantung. Tingkat pertama dari pohon mengandung domain tingkat atas, seperti .fr dan .com. Tingkat kedua berisi nama domain "konvensional" seperti "afnic.fr". Fungsi DNS seperti database terdistribusi selama jutaan mesin dan bergantung pada interaksi antara mesin-mesin untuk mengidentifikasi mana yang paling mungkin untuk menanggapi permintaan pengguna.

1 - Struktur Pohon

Dalam contoh di atas, keinginan pengguna untuk terhubung ke http: //www.wikipedia.

fr. Dia mengirimkan pertanyaannya melalui browser-nya. Permintaan tersebut diterima oleh server yang disebut "penyelesai", tugas utamanya adalah untuk mengidentifikasi

mesin hosting domain wikipedia.fr nama. Resolver pertama query akar server untuk menemukan server "otoritatif" (berarti bertanggung jawab) untuk .fr, karena nama domain mengandung .fr. The .fr server kemudian menginformasikan resolver yang server wikipedia.fr nama domain host di Resolver kemudian dapat memberikan browser alamat IP dari web server hosting isi situs www.wikipedia.fr. Mekanisme ini selalu berlaku, terlepas dari situs web yang diinginkan dan terlepas dari alamat e-mail yang pengguna ingin menulis. Itu sebabnya DNS aman sistem dan pemahaman tentang serangan yang bisa membahayakan operasi merupakan tantangan untuk semua pengguna internet.

2 - Software

Jenis II Mayor serangan menargetkan DNS dan nama domain

Ada beberapa jenis serangan terhadap nama domain dan DNS. Beberapa serangan mungkin terlihat untuk mengeksploitasi sisi administrasi nama domain daripada langsung menargetkan infrastruktur dan server DNS:

Cybersquatting melibatkan mendaftarkan nama domain dengan maksud sengajamerusak dan keuntungan dari hak pihak ketiga atau dalam beberapa cara merugikan yang pihak ketiga. Ada banyak teknik cybersquatting, dan tujuan umum adalah untuk mencuri identitas korban dan / atau mengalihkan lalu lintas dari situs korban.

"Nama-jacking" atau pencurian dengan mengambil alih nama domain (memperbarui pemegang lapangan dan / atau kontak) atau mengambil kendali dengan cara teknis untuk mengalihkan lalu lintas, misalnya dengan memodifikasi server nama hosting situs tersebut. Serangan non-DNS lain "sosial" (meyakinkan karyawan ceroboh untuk memberikan password mereka untuk orang asing) atau melibatkan teknik seperti injeksi SQL, yang digunakan untuk menyerang beberapa pendaftar dan pendaftar awal 2009 Serangan terhadap infrastruktur DNS terutama teknis, menggunakan serangan massal atau teknik yang merusak informasi yang dipertukarkan antara resolvers dan DNS server:

Keracunan cache DNS dupes resolver menjadi percaya bahwa "bajak laut" serverserver otoritatif di tempat server asli. Serangan ini menangkap dan mengalihkan query ke website lain tanpa sepengetahuan pengguna, bahaya adalah bahwa pengguna mungkin membocorkan data pribadi pada apa yang mereka yakini sebagai sebuah situs yang bonafid. The "Kaminsky cacat "ditemukan selama musim panas 2008 adalah salah satu serangan seperti itu racun DNS resolvers.

Denial of service (DoS) serangan merupakan upaya untuk membuat layanan yang diberikan tidak mungkin atau sangat sulit untuk mengakses. Serangan kadang-kadang menggunakan kekerasan (jenuh server banjir mereka dengan pertanyaan simultan) atau pergi untuk pendekatan yang lebih halus oleh melelahkan langka sumber daya pada server. Serangan yang dilakukan terhadap sistem akar DNS pada bulan Februari 2007 terutama serangan DoS.

Distributed denial of service (DDoS) serangan adalah bentuk yang rumit dari DoSyang melibatkan ribuan komputer umumnya sebagai bagian dari jaringan botnet atau robot: jaringan komputer zombie yang penyerang commandeers dari tanpa disadari mereka pemilik dengan menyebarkan malware dari satu komputer ke komputer lain.

Serangan tercermin mengirim ribuan permintaan dengan nama korban sebagai sumber alamat. Ketika penerima menjawab, semua balasan berkumpul di pengirim resmi, yang infrastruktur kemudian terpengaruh.

Amplifikasi reflektif DoS: jika ukuran jawabannya adalah lebih besar dari pertanyaan,

efek amplifikasi disebabkan. Teknik yang sama seperti serangan tercermin digunakan, kecuali bahwa perbedaan dalam berat badan antara jawaban dan pertanyaan menguatkan tingkat serangan itu. Varian dapat memanfaatkan langkah-langkah perlindungan di tempat, yang perlu waktu untuk decode balasan panjang; ini dapat memperlambat resolusi query.

Fluks cepat: Selain memalsukan alamat IP mereka, penyerang dapat menyembunyikan identitas mereka dengan menggunakan teknik ini, yang bergantung pada cepat berubah informasi terkait lokasi ke menyembunyikan di mana serangan itu berasal. Varian ada, seperti fluks tunggal (terus-menerus mengubah alamat web server) dan fluks ganda (terus-menerus mengubah alamat web server dan nama-nama server DNS).

SUMBER: DNS: Types of attack and security techniques

Attacking The DNS Protocol

Attacking The DNS Protocol

DNS adalah sebuah protokol berat digunakan pada Internet belum memiliki banyak keamanan pertimbangan. Makalah ini sementara mengandung sesuatu yang baru pada DNS keamanan menyatukan dalam satu mendokumentasikan banyak helai keamanan DNS yang telah diterbitkan dan dilaporkan banyak publikasi terpisah sebelum. Dengan demikian dokumen ini bermaksud untuk bertindak sebagai single titik acuan untuk keamanan DNS.

DNS Poison Serangan

Jika penyerang berhasil informasi palsu akan disimpan dalam cache ns1.sa.com ini. Catatan ini sangat banyak nama server untuk server nama serangan yang akan mempengaruhi klien yang menggunakan server nama target dengan informasi palsu. BIND transaksional ID adalah di kisaran 1-65535. Ingat bagaimana tiga informasi yang diperlukan untuk permintaan yang akan diterima, terutama ID transaksi, sumber IP dan port sumber. Mengetahui sumber IP lurus ke depan seperti yang kita tahu alamat dari server nama yang akan bertanya. Itu port sumber namun menyajikan sebuah tantangan.

Lebih sering daripada tidak BIND akan menggunakan kembali port sumber yang sama untuk permintaan atas nama klien yang sama yaitu server nama BIND. Oleh karena itu, jika seorang penyerang bekerja dari berwibawa nama server, ia pertama kali bisa mengeluarkan permintaan untuk lookup DNS dari hostname di server-nya dari server target dan ketika paket query rekursif tiba port sumber dapat diperoleh.

Kemungkinan ini akan menjadi port sumber yang sama yang digunakan saat korban mengirimkan query untuk domain yang akan dibajak. Perhatikan output di bawah mengendus tiga berikutnya permintaan untuk nama domain yang berbeda:

172.16.1.2.22343> 128.1.4.100.53

172.16.1.2.22343> 23.55.3.56.53

172.16.1.2.22343> 42.14.212.5.53

Semua tiga pertanyaan yang digunakan sumber pelabuhan 22.343 sedangkan query empat server nama yang berbeda.

DNS Poison Serangan

Versi BIND 4 dan 8 penggunaan transaksi berurutan ID ini. Ini berarti penyerang bisa dengan mudah menemukan arus ID hanya dengan membuat query ke server dan mengamati Nomor ID dan berada dalam pengetahuan bahwa permintaan BIND berikutnya akan membuat mengatakan Server nama lain akan hanya 1 dari nilai ini. BIND versi 9 menetapkan ID transaksi ini secara acak dan tidak mengirim beberapa pertanyaan rekursif untuk nama domain yang sama.

Contoh dari Serangan Cache Poisoning pada Server DNS

Kami akan memeriksa dua skrip yang telah dirilis yang menyediakan demonstrasi serangan cache poisoning. Asumsikan nama server target kami adalah ns1.sa.com (12.12.12.12) dan kami ingin racun cache untuk percaya www.microsoft.com memutuskan untuk 10.10.10.10 dengan harapan bahwa semua query masa depan itu akan menerima untuk TTL informasi ini dalam cache akan dimodifikasi dalam contoh kita untuk mendapatkan sumber port dari server DNS. Perlu dijalankan dari server nama otoritatif yang penyerang mengontrol untuk query target server nama untuk nama host yang mesin penyerang otoritatif. Katakanlah dalam contoh kita script berjalan dari ns1.happydays.com dan penyerang query server nama target untukwww.happydays.com:

dns1.pl 12.12.12.12 www.happydays.com

port sumber: 54532

Setelah memperoleh sumber port kita menjalankan skrip kedua ditulis oleh Ramon Izaguirre disebut hds0.pl (script ini membutuhkan RAW IP Perl Module) yang benar-benar mengeksekusi serangan itu.

./hds0.pl 13.13.13.13 12.12.12.12 54.532 www.microsoft.com 10.10.10.10 (ns1.microsoft.com) (ns1.sa.com) (port sumber) (target spoof)

Untuk mengamati apakah serangan itu berhasil hanya query server nama sasaran:

menggali @ 12.12.12.12 www.microsoft.com

www.microsoft.com 86400 IN A 10.10.10.10

Dalam kasus di atas www.microsoft.com memutuskan untuk 10.10.10.10, maka serangan itu memiliki berhasil. Perhatikan bahwa jika serangan itu berhasil dan alamat IP yang benar untuk www.microsoft.com diperoleh bahwa Anda akan harus menunggu selama TTL berakhir pada cache sebelum Anda dapat mencoba lagi. Selain itu, ada kemungkinan domain microsoft.com memiliki lebih dari satu server DNS, sangat mungkin bahwa hal itu juga memiliki server ns2.microsoft.com. Penyerang tidak tahu yang mana dari server DNS otoritatif dari domain target akan mendapatkan bertanya.

DNS Man di Serangan Tengah - DNS Pembajakan

Jika seorang penyerang dapat menyisipkan dirinya di antara klien dan server DNS ia mungkin dapat mencegat balasan untuk nama klien permintaan resolusi dan mengirim palsu pemetaan informasi alamat ke alamat yang salah. Jenis serangan sangat banyak kondisi lomba, di bahwa penyerang perlu mendapatkan jawabannya kembali ke klien sebelum server yang sah tidak. Kemungkinan dapat ditumpuk dalam mendukung para client sebagai sejumlah pertanyaan rekursif mungkin perlu dibuat dan penyerang mungkin dapat memperlambat DNS server utama klien turun dengan menggunakan denial of service menyerang.

Untuk mengeksekusi serangan ini sebuah alat yang disebut DNS Pembajakdigunakan dan dijalankan pada penyerang Pria di mesin tengah. DNS Pembajak menggunakan tabel fabrikasi untuk menyimpan informasi dipalsukan untuk dikembalikan.

SUMBER: Attacking The DNS Protocol

DNSSEC: The Antidote to DNS Cache Poisoning and Other DNS Attacks

DNSSEC: The Antidote to DNS Cache Poisoning and Other DNS Attacks

DNSSEC: The Antidote untuk DNS Cache Poisoning dan lainnya

DNS

Domain Name System (DNS) menyediakan salah satu yang paling dasar tetapi fungsi penting di Internet. Jika DNS tidak bekerja, maka Anda bisnis mungkin tidak baik. Anda bisnis dan kehadiran web mengamankan dengan Domain Name System Extensions Security (DNSSEC). DNS akan pergi jauh untuk mengamankan Internet pada umumnya. Domain Name System Ekstensi keamanan (DNSSEC) mencoba untuk menambah keamanan untuk DNS tetap menjaga kompatibilitas ke belakang yang diperlukan untuk skala dengan Internet secara keseluruhan. Pada intinya, DNSSEC menambahkan tanda tangan digital untuk memastikan keaslian jenis tertentu DNS transaksi dan, karena itu, integritas informasi.

DNSSEC menyediakan berikut:

Otentikasi asal data DNS: Resolver dapat memverifikasi data yang memiliki berasal dari sumber-sumber otoritatif.

Integritas data: Resolver dapat memverifikasi bahwa tanggapan tidak dimodifikasi dalam penerbangan.

Dikonfirmasi penolakan keberadaan: Bila ada data untuk query, server otoritatif dapat memberikan respon yang membuktikan data tidak ada.

Untuk mencapai DNSSEC:

1. Setiap zona DNSSEC menciptakan satu atau lebih pasang publik / kunci pribadi (s) dengan porsi publik dimasukkan ke dalam DNSSEC tipe record DNSKEY.

2. Zona menandatangani semua catatan sumber daya set (RRsets) dan menentukan urutan di mana beberapa catatan dari jenis yang sama yang kembali dengan kunci pribadi (s).

3. Resolvers menggunakan DNSKEY (s) untuk memverifikasi RRsets; setiap RRset juga memiliki tanda tangan melekat padanya yang disebut RRSIG.

Jika penyelesai memiliki DNSKEY zona (s), dapat memverifikasi bahwa RRsets utuh dengan memverifikasi melekat padanya yang disebut RRSIG. Jika penyelesai memiliki DNSKEY zona (s), dapat memverifikasi bahwa RRsets utuh dengan memverifikasi RRSIGs mereka. Rantai kepercayaan penting untuk DNSSEC sejak rantai yang tak terputus kepercayaan perlu dibangun dari akar di bagian atas melalui tingkat atas domain (TLD) dan turun ke pendaftar perorangan. Semua zona perlu dikonfirmasi oleh "penandatanganan," bahwa penerbit zona menandatangani zona yang sebelum diterbitkan, dan induk dari zona yang menerbitkan kunci dari zona itu. Dengan banyak zona, kemungkinan bahwa tanda tangan akan berakhir sebelum catatan DNS diperbarui. operator zona oleh karena itu memerlukan sarana untuk secara otomatis kembali menandatangani catatan DNS sebelum ini tanda tangan berakhir.

DNSSEC memastikan bahwa jawaban yang Anda terima ketika meminta resolusi nama

berasal dari nama server terpercaya. Sejak DNSSEC masih jauh dari global dikerahkan dan banyak resolvers baik belum diperbarui atau tidak mendukung DNSSEC, menerapkan fitur BIG-IP GTM DNSSEC dapat sangat meningkatkan Anda Keamanan DNS segera. Ini dapat membantu Anda mematuhi mandat DNSSEC federal dan membantu melindungi nama domain dan web Anda properti berharga dari server nakal

mengirimkan tanggapan yang tidak valid. F5 BIG-IP v10.1 sekarang menyediakan penandatanganan DNSSEC untuk catatan DNS dan real-time DNSSEC menandatangani seperti yang diminta oleh klien. Kombinasi BIG-IP lalu lintas local Manajer + BIG-IP GTM + DNSSEC di satu kotak menyediakan drop-in DNSSEC solusi untuk penyebaran DNS yang ada, langsung memberikan Anda kontrol lebih besar dan keamanan lebih infrastruktur DNS Anda sekaligus memenuhi mandat pemerintah AS untuk Kepatuhan DNSSEC.

Daripada merobek dan mengganti infrastruktur DNS Anda saat ini, Anda hanya dapat

Ketika menciptakan zona DNSSEC, menggunakan FQDN paling spesifik sebagai namanya. BIG-IP GTM akan mencari set DNSSEC zona untuk menemukan yang paling spesifik satu untuk digunakan saat menandatangani, bahkan jika beberapa kandidat yang ada.

1. Nama zona DNSSEC.

2. Pilih tombol penandatanganan.

3. Pilih penandatanganan kunci

Kepatuhan DNSSEC.

Daripada merobek dan mengganti infrastruktur DNS Anda saat ini, Anda hanya dapat menjatuhkan BIG-IP GTM di depan server DNS yang ada dan mengurangi Anda biaya manajemen dengan implementasi dan pemeliharaan semua pada yang sama alat.

SUMBER: DNSSEC: The Antidote to DNS Cache Poisoning and Other DNS A acks

The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0)

The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0)

Sistem nama domain (DNS) adalah internetwork dari server nama dan protokol yang memungkinkan komputer untuk menyelesaikan nama host ke alamat IP. Biasanya disebut sebagai pekerja keras dari internet, ia menyediakan layanan resolusi nama untuk protokol inti lainnya. Permintaan DNS dapat berupa rekursif atau non-rekursif. Sebuah server DNS rekursif memproses nama domain permintaan pada nama domain yang tidak otoritatif (atau belum sudah cache) dengan query server nama root untuk alamat IP dari nama domain yang diminta. Nama server root maka akan "delegasi" query untuk domain tingkat atas yang sesuai (TLD) Server (.com, .org, .net, dll), yang pada gilirannya delegasi ke nameserver otoritatif untuk domain yang bersangkutan. Sebuah server non-rekursif hanya menyediakan informasi yang telah tersedia lokal. Namun, tergantung pada konfigurasi, mungkin juga kembali informasi delegasi untuk yang diminta domain.

Potensi Target dan Risiko

Setiap sistem dikonfigurasi untuk menyediakan DNS rekursi rentan terhadap serangan ini, termasuk

•Sistem Windows berjalan Domain Name Services

•Sistem Unix menjalankan Domain Name Services (BIND)

•Peralatan DNS (Infoblox, MiningWorks, BlueCat)

•Apple Macintosh OS X. Rekursi tidak dapat disaring dalam pelaksanaan DNS dikirimkan dengan Macintosh OS X 10.3.x

•Setiap perangkat yang mampu proxy DNS lookup rekursif, seperti tempat pelanggan

peralatan (CPE)

Selain itu, infrastruktur jaringan transportasi inbound ditempatkan pada risiko selama serangan itu karena volume lalu lintas yang dihasilkan. Sebuah serangan DNS rekursi pada dasarnya adalah amplifikasi serangan DoS. Oleh karena itu, serangan itu mempengaruhi beberapa poin dampak:

•Server DNS dikonfigurasi untuk menyediakan rekursi menerima permintaan palsu dan

menghasilkan balasan ke alamat palsu (yaitu, korban). Kinerja ini sistem mungkin terkena dampak negatif akan saat memproses permintaan palsu.

•Permintaan DNS palsu tersebut query server nama root, bagian dari internet yang kritis

infrastruktur, secara tidak langsung mempengaruhi mereka.

•Lalu lintas kemudian melintasi backbone internet, yang mempengaruhi penyedia layanan internet dan penyedia hulu hingga mencapai sasaran yang dituju.

•Target yang dituju menerima sejumlah besar balasan DNS masuk yang dapat mengkonsumsi semua sumber daya yang tersedia pada router, tergantung pada bandwidth yang tersedia. Bahkan jika lalu lintas berkurang melalui tingkat membatasi atau bandwidth throttling lainnya langkah-langkah, serangan itu bisa berdampak bisnis yang sah lainnya di sepanjang jalan dari serangan.

Ikuti Keamanan Praktik Terbaik untuk Konfigurasi DNS

Untuk informasi tambahan tentang praktik DNS aman, lihat "Resources" dari makalah ini.

Microsoft

Server 2003

Konsultasikan Microsoft Mengamankan DNS untuk Windows 2003

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/fea46d0d-2de7-4da0-9c6f-2bb0ae9ca7e9.mspx

Windows 2000

Konsultasikan Panduan Konfigurasi Windows 2000 DNS Aman:

http://nsa2.www.conxion.com/win2k/guides/w2k-6.pdf

Unix

The Berkeley internet Nama Domain (BIND) server didistribusikan dengan sebagian besar varian UNIX dan menyediakan layanan nama untuk banyak jaringan. BIND, bagaimanapun, memiliki sejumlah kerentanan yang dapat, antara lain, memungkinkan untuk dimanfaatkan untuk melancarkan serangan DoS. Team Cymru Secure BIND Template memberikan pedoman mengamankan BIND dari penyalahgunaan tersebut. Template tersedia di URL berikut:

http://www.cymru.com/Documents/secure-bind-template.html

Team Cymru juga menyediakan template untuk perlindungan perbatasan tambahan: Secure IOS Template dan Aman BGP Template.

Menonaktifkan DNS Rekursif

Microsoft

Server 2003

Informasi tentang cara menonaktifkan query rekursif pada server DNS dapat ditemukan di berikut URL:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/e1fe9dff-e87b-44ae-ac82-8e76d19d9c37.mspx

Instruksi diambil dari URL di atas telah disediakan di sini. Screen shot memiliki juga telah diberikan untuk ilustrasi.

Untuk menonaktifkan rekursi menggunakan antarmuka Windows:

•Buka DNS snap-in (Untuk membuka DNS snap-in, klik Mulai, arahkan ke Administratif

Alat, dan kemudian klik DNS).

•Pada pohon konsol, klik kanan server DNS yang berlaku, kemudian klik Properti:

• Klik tab Advanced.

•Dalam opsi Server, pilih rekursi Nonaktifkan (juga menonaktifkan forwarder) cek kotak, dan kemudian klik OK:

Untuk menonaktifkan rekursi menggunakan baris perintah:

• Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER: dnscmd ServerName / Config / NoRecursion {1 | 0}

Nilai Deskripsi

Nama server

Wajib. Menentukan nama host DNS dari server DNS. Anda juga dapat mengetik Internet Protocol (IP) alamat server DNS. Untuk menentukan server DNS pada komputer lokal, Anda juga dapat mengetik periode(.)./ NoRecursion Diperlukan. Menonaktifkan rekursi.{1 | 0}Wajib. Untuk menonaktifkan rekursi, tipe 1 (off). Untuk mengaktifkan rekursi, jenis 0 (pada). Secara default, rekursi adalahdiaktifkan.

Windows 2000

Informasi tentang cara menonaktifkan query rekursif pada server DNS dapat ditemukan di berikut URL:

http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced / bantuan / sag_DNS_imp_ModifyServerDefaults.htm

Instruksi diambil dari URL di atas telah disediakan di sini.

Untuk menonaktifkan rekursi pada server DNS

• Open DNS (klik Mulai, arahkan ke Program, arahkan ke Alat administratif, dan kemudian klik DNS).

• Pada pohon konsol, klik server DNS yang berlaku.

• Pada menu Action, klik Properties.

• Klik tab Advanced.

• Dalam opsi Server, pilih kotak centang rekursi Nonaktifkan, dan kemudian klik OK.

Unix

Untuk informasi tentang menonaktifkan DNS rekursif pada sistem Unix, lihat BIND Team Cymru ini Template (disebutkan di atas). Dalam versi saat ini dari BIND, DNS rekursi diaktifkan secara default. Sistem Internet Consortium (ISC) telah setuju untuk menonaktifkan rekursi secara default pada rilis berikutnya dari BIND. Untuk versi terbaru BIND, petunjuk ini, diambil dari Template BIND Team Cymru ini (http://www.cymru.com/Documents/secure-bind-template.html) disediakan untuk menonaktifkan rekursi.

// Membuat tampilan untuk klien DNS eksternal. melihat "eksternal-in" di {

// Kami eksternal (tidak terpercaya) tampilan. Kami mengizinkan klien untuk mengakses

// Bagian dari pandangan ini. Kami tidak melakukan rekursi atau tembolok

// Akses untuk host menggunakan pandangan ini.

pertandingan-klien {apapun; };

rekursi tidak;

tambahan-dari-auth ada;

tambahan-dari-tembolok tidak ada;

// Tautan di zona kami

zona "." di {

ketik petunjuk;

mengajukan "db.cache";

};

zona "ournetwork.net" di {

ketik master;

mengajukan "master / db.ournetwork";

memungkinkan-query {

apa saja;

};

};

zona "8.8.8.in-addr.arpa" di {

ketik master;

mengajukan "master / db.8.8.8";

memungkinkan-query {

apa saja;

};

};

};

Menguji konfigurasi yang ada

Situs web Pengukuran Pabrik menyediakan pointer ke sejumlah alat pihak ketiga yang tersedia untuk memvalidasi DNS. Daftar tersedia di URL berikut:

http://dns.measurement-factory.com/tools/third-party-validation-tools/

SUMBER: The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0)

Analysis Of E-Commerce Security

Analysis Of E-Commerce Security

Setiap orang menggunakan web untuk E-commerce perlu menjadi keprihatinan tentang keamanan informasi pribadi mereka. Tapi bagaimana bisa dipastikan adalah pertanyaan besar dan perlu dipecahkan. Berikut ini adalah kelemahan dari sistem pembayaran online mengenai keamanan:

· Transaksi yang tidak sah atau mencuri uang.

· Hacking data pribadi dan menggunakannya untuk pencurian identitas.

· Menyerang data dan membuatnya merusak.

· Manfaatkan kemudahan dan kecepatan sistem elektronik untuk menutupi transaksi yang tidak sah atau ilegal

· Mengambil keuntungan dari efisiensi sistem elektronik untuk memfasilitasi pendanaan ilegal.

 Dengan berbasis Internet E-commerce, jenis baru transaksi yang muncul:

· Pihak dalam transaksi seperti bisnis, konsumen dan pemerintah

· Menggunakan non-proprietary jaringan terbuka, Internet, dengan perusahaan terkait keamanan dan keandalan isu.

· Klien administrasi gratis.

· Pada akan ketersediaan layanan.

· Geografis didistribusikan pihak.

· Identitas pihak tanpa kontak fisik.

· Dukungan kontak off-line antara pihak melalui email, suara, fax, dll

· Kemampuan untuk mengumpulkan data dan pihak profil.

Khas E-commerce kerangka aplikasi bisnis misalkan untuk menyediakan dan mendukung fungsi alur kerja lengkap, di mana E-commerce memiliki alur kerja besar-besaran dimulai dari akun pembukaan dan berakhir pada protokol pembayaran. Selain itu, harus memiliki berguna dasar antarmuka pengguna dan penyediaan layanan. Oleh karena itu, ia dirancang untuk mengkonsolidasikan sub kerangka utama, dan kolam renang layanan:

· Objek Management Framework: ini bertanggung jawab untuk memilah dan mengambil semua benda dalam aplikasi. Hal ini juga bertanggung jawab untuk mengisolasi aplikasi dari yang mendasari basis data.

· Business Logic Kerangka: tujuan ini merangkum itu bisnis aturan dan proses independen dari antarmuka pengguna.

· User Interface Kerangka: penggunaan ini Kerangka adalah untuk mengisolasi gagasan dasar bentuk dari yang mendasari sistem jendela dan sistem operasi.

· Generik Layanan Renang: ini bisa disebut virtual Mesin menyediakan layanan untuk semua kerangka lain dalam cukup disarikan bentuk. Jadi, layanan dapat diimplementasikan dalam beberapa cara.

Ada beberapa metode pembayaran yang mendukung electronic pembayaran melalui internet:

· Kartu pembayaran elektronik (kredit, debit, biaya)

· Kartu kredit virtual

· E-dompet (atau e-dompet)

· smart card

· Electronic cash (beberapa variasi)

· pembayaran nirkabel

· Pembayaran kartu disimpan-nilai

· kartu loyalitas

· Metode pembayaran orang-ke-orang

· Pembayaran dilakukan secara elektronik di kios

Keamanan mencoba untuk menyelesaikan tugas-tugas berikut:

· Otentikasi yang mengidentifikasi pembeli dan juga membuat yakin orang itu adalah yang ia / dia mengaku. Bekas metode yang yaitu cetakan tanda tangan digital, jari, password atau smartcard dll

· Integritas data yang berarti, bahwa harus ada cara untuk memverifikasi data yang tidak berubah selama transaksi.

· Rahasia harus dilestarikan, sehingga informasi mengenai tindakan tarns yang perlu tahu dasar.

· Non repudiation, yang berarti bahwa orang yang melakukan pembayaran tidak mampu setelah itu menyangkal melakukannya.

Elektronik Strategi Identifikasi

Hal ini membutuhkan teknik keamanan kriptografi untuk memastikan transaksi otentikasi dan memilih antara kriptografi kunci rahasia (SKC) Macing (Message Authentication Code) atau umum kriptografi kunci (PKC) tanda tangan digital.

· Tingkat Keamanan:

Penentuan tingkat keamanan akan berdampak pada jenis identifikasi elektronik berarti diberikan kepada klien. Pilihannya adalah antara logis sekuritas di otentikasi berbasis software, atau fisik keamanan jika perangkat keamanan diperkenalkan ke dalam gambar.

· Autentikasi klien Strategi:

Dengan PKC digital tanda tangan, masalah ini berakar pada model keamanan PKI, dan peran otoritas sertifikasi (CA). dimana dengan SKC, pilihan utama adalah pengiriman manual kunci kriptografi atau model keamanan tersirat menunjukkan pendaftaran klien.

· Persyaratan Kerahasiaan:

Bahkan jika kritis aspek dari E-commerce keamanan transaksi otentikasi, kerahasiaan Persyaratan

adalah Sebuah masalah desain signifikan. Persyaratan kerahasiaan ini masalah adalah independen dari pemilihan model keamanan. Jelas, ketika mekanisme kerahasiaan yang dianggap, pemilihan SKC atau PKC tidak peduli.

SSL

Selama pembentukan koneksi SSL hanya server dikonfirmasi menggunakan sertifikat digital (otentikasi pengguna biasanya terjadi melalui nama pengguna dan password setelah Koneksi SSL telah ditetapkan). SSL juga menawarkan pilihan untuk otentikasi klien berdasarkan sertifikat digital.

Keuntungan SSL

· Transparansi - sejak SSL menyediakan keamanan pada sesi lapisan, kehadirannya benar-benar tak terlihat baik dengan pedagang 'software toko Web atau pelanggan. Ini adalah terutama penting bagi pedagang karena tidak ada biaya untuk mengintegrasikan SSL dengan sistem yang ada mereka, selain biaya pemasangan sertifikat.

· Kemudahan penggunaan bagi pelanggan - SSL sudah dibangun ke umum digunakan browser Web dan tidak ada kebutuhan untuk menginstal perangkat lunak tambahan.

· Kompleksitas rendah - sistem ini tidak rumit, sehingga dampak minimal pada kecepatan transaksi.

Kerugian dari SSL

SSL memiliki beberapa masalah serius ketika datang untuk memenuhi tantangan keamanan sektor keuangan saat ini.

· Pedagang tidak dapat dipercaya mengidentifikasi pemegang kartu. SSL tidak memberikan kemungkinan klien otentikasi dengan menggunakan sertifikat klien; seperti itu sertifikat tidak wajib dan jarang digunakan. Selanjutnya, bahkan jika klien memiliki sertifikat, itu belum tentu terkait dengan kartu kredit.

· SSL hanya melindungi link komunikasi antara pelanggan dan pedagang. Pedagang diperbolehkan untuk melihat informasi pembayaran. SSL bisa tidak menjamin bahwa pedagang tidak akan menyalahgunakan ini informasi, juga tidak dapat melindunginya terhadap gangguan sementara itu disimpan di server merchant.

· Tanpa server pihak ketiga, SSL tidak dapat memberikan jaminan non-penolakan.

· SSL tanpa pandang bulu mengenkripsi semua data komunikasi menggunakan kekuatan kunci yang sama, yang tidak perlu karena tidak semua data harus tingkat perlindungan yang sama. Misalnya, nomor kartu kredit perlu lebih kuat enkripsi dari daftar pesanan barang. Menggunakan tombol yang sama kekuatan untuk kedua menciptakan komputasi yang tidak perlu atas.

  

SET

SET diciptakan untuk memberikan kepercayaan yang diperlukan bagi konsumen. Itu protokol menggunakan kriptografi dan digital sertifikat untuk memberikan kerahasiaan informasi, memastikan integritas pembayaran, dan mengotentikasi pedagang, bank, dan pemegang kartu selama SET transaksi.

Spesifikasi SET:

· SET menggunakan keamanan RSA Data publik kriptografi kunci untuk mengenkripsi dan mendekripsi paket transaksi bersama dengan penggunaan sertifikat digital dan digital tanda tangan untuk otentikasi dari semua pihak untuk transaksi dan validasi informasi belum dirusak.

· SET membuat transaksi online lebih aman dengan menggunakan sertifikat digital untuk memverifikasi bahwa konsumen dan pedagang keduanya diizinkan untuk menggunakan dan menerima Visa kartu-kartu. Itu setara elektronik konsumen mencari decal Visa di jendela toko pedagang, dan pedagang memeriksa tanda tangan konsumen pada belakang kartu Visa. Pedagang di seluruh dunia yang Saat ini mengadopsi SET.

· SET menggabungkan penggunaan kriptografi kunci publik untuk melindungi privasi pribadi dan keuangan informasi. Akibatnya, dengan SET, konsumen informasi kartu pembayaran dilindungi semua jalan ke lembaga keuangan. Pedagang tidak bisa membaca ini informasi dalam transaksi pembayaran.

· Dengan SET, pemegang kartu dapat memvalidasi bahwa Internet merchant sah melalui merchant digital sertifikat. Software SET otomatis memeriksa bahwa pedagang memiliki sertifikat yang sah yang mewakili mereka hubungan dengan lembaga keuangan mereka. Ini menyediakan konsumen dengan keyakinan bahwa mereka pembayaran akan ditangani dengan janji Visa yang sama bahwa mereka percaya hari ini.

Keuntungan SET Protocol

· Kerahasiaan, otentikasi dan integritas data adalah diverifikasi oleh koleksi besar bukti keamanan berbasis pada metode formal.

· Dalam varian standar protokol, SET mencegah pedagang dari melihat pembayaran pelanggan

informasi, karena informasi ini dienkripsi menggunakan kunci publik gateway pembayaran ini.

· Untuk memastikan pedagang privasi, SET mencegah gateway pembayaran dari melihat informasi pesanan.

Kerugian SET

· Pelanggan harus menginstal perangkat lunak tambahan, yang dapat menangani transaksi SET.

· Pelanggan harus memiliki sertifikat digital yang valid.

· Menerapkan SET lebih mahal dari SSL untuk pedagang juga.

· Beradaptasi sistem mereka untuk bekerja dengan SET lebih rumit dari beradaptasi mereka untuk bekerja dengan SSL

· Bank bisnis harus menyewa perusahaan untuk mengelola mereka gateway pembayaran, atau memasang gateway pembayaran oleh diri.

· Meskipun dirancang dengan keamanan dalam pikiran, SET juga memiliki beberapa masalah keamanan. Dalam varian SET protokol, pedagang diperbolehkan untuk melihat pelanggan informasi pembayaran, seperti halnya dengan SSL.

· SET mempekerjakan mekanisme kriptografi yang kompleks yang mungkin berdampak pada kecepatan transaksi.

SUMBER: Analisis Keamanan Protokol Ecommerce Dalam SSL dan SET