Защита DNS подключений с помощью Windows Server 2008 R2 DNSSEC

По причинам все большего распространения протокола IP версии 6, доступ к компьютерам через DNS имена станет еще более важным. Хотя те из нас, кто работает с IPv4 долгие годы, знают, что довольно просто запоминать большое количество IPv4 адресов, использующих четыре набора цифр, разделенных запятыми в системе IP адресов, проблема в том, что адресное пространство IPv6 настолько большое, а шестнадцатеричная система счисления настолько сложна, что лишь небольшое количество человек, сможет запомнить IP адреса более одного компьютера в своей сети. Так или иначе, каждый IPv6 адрес составляет 128 битов в длину – в четыре раза длиннее IPv4 адреса. Это и обеспечивает большее адресное пространство, позволяющее размещать большее количество узлов в интернете, но также и усложняющее нам задачу запоминания адресов.

Проблема: небезопасная природа базы DNS

Учитывая, что уровень зависимости от DNS будет повышаться, нам потребуется способ обеспечения точности и надежности записей базы данных DNS – и одним из самых эффективных способов добиться этого является обеспечение безопасности баз данных DNS. До недавнего времени DNS была относительно незащищенной системой, при этом большая часть безопасности строилась на основном уровне доверия.

В силу этой небезопасной природы есть множество моментов, в которых основной уровень доверия нарушался и DNS серверы взламывались (перенаправляя DNS имена на ложные DNS серверы), DNS записи подделывались, а DNS кэш отравлялся, что приводило к тому, что пользователи верили, что они подключены к законным сайтам, в то время как, на самом деле, они перенаправлялись на сайты, содержавшие вредоносный контент или собиравшие их личные данные с помощью атак pharming. Атаки под названием Pharming схожи с атаками фишинга (phishing), за исключением того, что вместо перехода по ссылке в электронном сообщении пользователи посещали сайты самостоятельно, используя правильный URL адрес реального сайта, думая, что им ничего не угрожает. Но записи DNS изменялись для перенаправления реального URL адреса на поддельный сайт (pharming site).

Решение: Windows Server 2008 R2 DNSSEC

Одним из решений, которые вы можете использовать в своей интрасети для защиты DNS среды, является использование продукта Windows Server 2008 R2 DNSSEC. DNSSEC представляет собой собрание расширений, которые повышают надежность DNS протоколов. Эти расширения добавляют авторизацию происхождения, цельность данных и отрицание существования при проверке подлинности для DNS. Это решение также добавляет ряд новых записей в DNS, включая DNSKEY, RRSIGN, NSEC и DS.

Как работает DNSSEC

DNSSEC позволяет всем записям в базе DNS получать подписи, подобно тому методу, который используется для других электронных коммуникаций с цифровой подписью, например электронная почта. Когда DNS клиент посылает запрос на DNS сервер, сервер возвращает цифровые подписи возвращаемых записей. Клиент, имеющий открытый ключ ЦС, подписавшего DNS записи, затем имеет возможность расшифровать хэш-значение (подпись) и проверить ответы. Для этого DNS клиент и сервер настраивается на использование одного якоря доверия (trust anchor). Якорь доверия представляет собой предварительно настроенный открытый ключ, связанный с определенной зоной DNS.

Подпись баз данных DNS доступна для файловых (не интегрированных в Active Directory) и интегрированных в Active Directory зон, а репликация доступна для других DNS серверов, которые являются авторитетными для сомнительных зон.

Windows 2008 R2 и Windows 7 DNS клиенты настроены, по умолчанию, в качестве не проверяющих распознавателей заглушек с поддержкой безопасности (non-validating, security-aware, stub resolvers). При такой конфигурации DNS клиент позволяет DNS серверу выполнять проверку от своего имени, но DNS клиент способен принимать DNSSEC ответы, возвращаемые с DNS сервера DNSSEC. Сам DNS клиент настроен на использование таблицы политики разрешения имен (Name Resolution Policy Table – NRPT) для определения того, как ему взаимодействовать с DNS сервером. Например, если NRPT указывает, что DNS должен защитить соединение между DNS клиентом и сервером, то проверка подлинности сертификата должна использоваться при запросе. Если согласования режима безопасности не проходят, это является четким показателем, что имеется проблема с доверием в процессе разрешения имен, и попытка получения имени будет неудачной. По умолчанию, когда клиент возвращает ответ на DNS запрос приложению, посылавшему этот запрос, он возвращает только эту информацию, если DNS сервер проверил информацию.

Получение действительных результатов

Итак, есть два способа, используемых для обеспечения действительности результатов ваших DNS запросов. Во-первых, вам нужно убедиться, что DNS серверы, к которым подключаются ваши DNS клиенты, на самом деле являются DNS серверами, к которым вы хотите подключить своих клиентов – и что это не ложные DNS серверы, рассылающие поддельные ответы. IPsec является отличным способом идентификации DNS сервера. DNSSEC использует SSL для подтверждения того, что подключение защищено. DNS сервер проходит проверку подлинности с помощью сертификата, подписанного доверенным издателем (например закрытая PKI).

Следует помнить, что если вы внедрили IPsec сервер и изоляцию домена, вам следует исключить TCP и UDP порты 53 из политики. В противном случае политика IPsec будет использоваться вместо проверки подлинности с использованием сертификата. Это приведет к тому, что клиенты не смогут проверять сертификаты с DNS сервера и защищенное соединение не сможет быть создано.

Подписанные зоны (Signed zones)

DNSSEC также подписывает зоны, используя автономное подписание с помощью инструмента dnscmd.exe. Это приводит к созданию файла подписанных зон (signed zone file). Этот файл содержит записи RRSIG, DNSKEY, DNS и NSEC ресурсов для данной зоны. После подписания зоны ее нужно перезагрузить с помощью инструмента dnscmd.exe или консоли диспетчера DNS.

Одним ограничением подписания зон является то, что динамические обновления отключены. Windows Server 2008 R2 включает DNSSEC только для статичных зон. Зону необходимо повторно подписывать каждый раз при внесении в нее изменений, что может значительно ограничивать использование DNSSEC во многих средах.

Роль якорей доверия

Якоря доверия упоминались выше. Записи ресурса DNSKEY используются для поддержки якорей доверия. Проверяющий DNS сервер должен включать как минимум один якорь доверия. Якоря доверия также применимы к назначаемым для них зонам. Если DNS сервер содержит несколько зон, то используется несколько якорей доверия.

DNSSEC-совместимый DNS сервер выполняет проверку имени в запросе клиента, если имеется якорь доверия для этой зоны. Клиент не должен быть совместим с DNSSEC для успешного процесса проверки, поэтому DNSSEC-несовместимые DNS клиенты могут использовать этот DNS сервер для разрешения имен в интрасети.

NSEC/NSEC3

NSEC и NSEC3 представляют собой методы, которые могут использоваться для обеспечения отрицания существования при процессе проверки подлинности для DNS записей. NSEC3 – является улучшенной версией оригинальной спецификации NSEC, позволяющей предотвратить просмотр зон (‘zone walking’), который в свою очередь позволяет злоумышленникам получать все имена в DNS зоне. Это мощный инструмент, позволяющий взломщикам просматривать вашу сеть. Данная возможность недоступна в Windows Server 2008 R2, поскольку включена поддержка только для NSEC.

Однако здесь все же имеется ограниченная поддержка NSEC3:

• Windows Server 2008 R2 может включать зону с NSEC, имеющую NSEC3 делегирование. Однако NSEC3 дочерние зоны не содержатся на Windows DNS серверах
• Windows Server 2008 R2 может быть неавторитетным DNS сервером, настроенным с якорем доверия для зоны, которая подписана NSEC и содержит NSEC3 дочерние зоны.
• Windows 7 клиенты могут использовать non-Microsoft DNS серверы для разрешения DNS имен, если этот сервер поддерживает NSEC3
• Когда зона подписана NSEC, вы можете настроить таблицу политики разрешения имен так, чтобы она не требовала проверки зоны. Если сделать это, DNS сервер не будет осуществлять проверку, и будет возвращать ответ с чистым полем Active Directory

Развертывание DNSSEC

Чтобы развернуть DNSSEC, вам потребуется следующее:

• Понимание ключевых концепций DNSSEC
• Обновление DNS серверов до Windows Server 2008 R2
• Просмотр требований к подписанию зон, выбор механизма возобновления ключа, и определение защищенных компьютеров и DNSSEC защищенных зон
• Создание и резервное копирование ключей, которые подписывают ваши зоны. Подтверждение того, что DNS работает и отвечает на запросы после подписания зон
• Распределение ваших якорей доверия на все неавторитетные серверы, которые будут выполнять проверку DNS с помощью DNSSEC
• Развертывание сертификатов и IPsec политики на DNS сервере
• Настройка NRPT параметров и развертывание IPsec политики на клиентских компьютерах

Для дополнительной информации о развертывании защищенной конфигурации DNS с помощью Windows Server 2008 R2 перейдите по этой ссылке.

Заключение

В этой статье мы предоставили подробный обзор DNSSEC и обсудили причины, по которым защита DNS инфраструктуры так важна для вашей организации. Windows Server 2008 R2 предоставляет новые функции, которые помогут вам сделать вашу DNS инфраструктуру безопаснее, чем когда-либо посредством совместного использования подписанных DNS зон, SSL защищенных подключений к доверенным DNS серверам и IPsec проверки подлинности и шифрования. В одной из следующих статей мы более подробно рассмотрим DNSSEC решение, а также поговорим о специфике новых записей ресурсов, процессе подписания и взаимодействиях, которые проходят между DNSSEC клиентами и серверами.