Глава 11 Безопасность и домены

Глава 11

Безопасность и домены

Безопасность систем адресации Интернета – очень актуальная и живо обсуждаемая в профильных сообществах тема. Только по проблемам безопасности DNS за последние годы написано множество научных трудов. Это неудивительно: DNS лежит в основе большинства современных способов получения доступа к ресурсам Интернета со стороны пользователей, поэтому значительная часть хакерских атак так или иначе задействует DNS. Однако целью этой книги не является подробное освещение многочисленных проблем информационной безопасности в современном Интернете, так как решение подобной задачи потребовало бы и значительно большего объема материала и специальных математических знаний от читателя. Тем не менее мы в популярном изложении коснемся всех основных вопросов доменной безопасности с точки зрения администратора доменов и интернет-пользователя.

Так как DNS – один из краеугольных камней современного Интернета, от надежной и безопасной работы этой системы зависит буквально каждый пользователь Глобальной сети. Чтобы оказаться в роли пострадавшего от дыр в безопасности доменов, вовсе не обязательно быть администратором домена или иметь собственный сайт в вебе. Жертвами фишинговых атак, построенных с помощью поддельных имен доменов, в основном становятся рядовые пользователи Сети, скажем, использующие ее для доступа к системам онлайн-банкинга (это программные комплексы, позволяющие клиентам банков управлять своими счетами через веб-браузер или через другую программу, работающую по каналам Интернета).

Текущую ситуацию с безопасностью систем адресации в Интернете нельзя назвать хорошей.

А классическая DNS вообще лишена каких бы то ни было механизмов обеспечения информационной безопасности. Причина в том, что, когда разрабатывалась DNS, многих угроз современного сетевого компьютерного мира просто не существовало, даже в лабораториях. Их тогда еще не успели разработать. Более того, четверть века назад Интернет не был столь агрессивным пространством, в которое он превратился сейчас, в конце первого десятилетия XXI века, поэтому и о противодействии активным злоумышленникам, вмешивающимся в работу сетевых протоколов, думали не так много, как теперь. Выбранный путь развития требует решать проблемы безопасности с «древними» протоколами в основном с помощью надстроек. Однако заметны и попытки обновить базовые протоколы, приведя их в соответствие с реалиями (самый масштабный пример – новая версия протокола IPv6; это базовый «транспорт» Интернета, используемый в том числе и DNS).

Чтобы несколько упростить изложение, разделим вопросы доменной безопасности на три большие группы.

1. Управление правами доступа администраторов доменов.

2. Доступ к ресурсам, размещенным под доменами, со стороны всего остального Интернета.

3. Достоверность данных DNS и доверие к доменам со стороны пользователей Сети.

На чем основано такое деление? Прежде всего на том, что эти три группы различаются в техническом плане.

Первая группа вопросов касается социальной инженерии, документооборота между регистратором и конкретным администратором домена.

Вторая – технологий и принципов работы серверов DNS, непосредственно обслуживающих домен.

Третья – технологий работы распределенной DNS Интернета и методов, используемых злоумышленниками «на стороне клиента» (то есть на компьютерах рядовых пользователей Сети).

Попробуем взглянуть на ситуацию несколько более детально. Так, кража злоумышленником паролей доступа к настройкам домена второго уровня у законного администратора – это проблема прав доступа, то есть проблема из первой группы.

Отказ обслуживающих домен серверов DNS, приведший к недоступности размещенных под доменом ресурсов, – это проблема доступа из второй группы. Подделка записей, соответствующих доменному имени, в локальной DNS интернет-провайдера относится к третьей группе.