Александр Венедюхин - Домены. Все, что нужно знать о ключевом элементе Интернета
Так как DNS – один из краеугольных камней современного Интернета, от надежной и безопасной работы этой системы зависит буквально каждый пользователь Глобальной сети. Чтобы оказаться в роли пострадавшего от дыр в безопасности доменов, вовсе не обязательно быть администратором домена или иметь собственный сайт в вебе. Жертвами фишинговых атак, построенных с помощью поддельных имен доменов, в основном становятся рядовые пользователи Сети, скажем, использующие ее для доступа к системам онлайн-банкинга (это программные комплексы, позволяющие клиентам банков управлять своими счетами через веб-браузер или через другую программу, работающую по каналам Интернета).
Текущую ситуацию с безопасностью систем адресации в Интернете нельзя назвать хорошей.
А классическая DNS вообще лишена каких бы то ни было механизмов обеспечения информационной безопасности. Причина в том, что, когда разрабатывалась DNS, многих угроз современного сетевого компьютерного мира просто не существовало, даже в лабораториях. Их тогда еще не успели разработать. Более того, четверть века назад Интернет не был столь агрессивным пространством, в которое он превратился сейчас, в конце первого десятилетия XXI века, поэтому и о противодействии активным злоумышленникам, вмешивающимся в работу сетевых протоколов, думали не так много, как теперь. Выбранный путь развития требует решать проблемы безопасности с «древними» протоколами в основном с помощью надстроек. Однако заметны и попытки обновить базовые протоколы, приведя их в соответствие с реалиями (самый масштабный пример – новая версия протокола IPv6; это базовый «транспорт» Интернета, используемый в том числе и DNS).
Чтобы несколько упростить изложение, разделим вопросы доменной безопасности на три большие группы.
1. Управление правами доступа администраторов доменов.
2. Доступ к ресурсам, размещенным под доменами, со стороны всего остального Интернета.
3. Достоверность данных DNS и доверие к доменам со стороны пользователей Сети.
На чем основано такое деление? Прежде всего на том, что эти три группы различаются в техническом плане.
Первая группа вопросов касается социальной инженерии, документооборота между регистратором и конкретным администратором домена.
Вторая – технологий и принципов работы серверов DNS, непосредственно обслуживающих домен.
Третья – технологий работы распределенной DNS Интернета и методов, используемых злоумышленниками «на стороне клиента» (то есть на компьютерах рядовых пользователей Сети).
Попробуем взглянуть на ситуацию несколько более детально. Так, кража злоумышленником паролей доступа к настройкам домена второго уровня у законного администратора – это проблема прав доступа, то есть проблема из первой группы.
Отказ обслуживающих домен серверов DNS, приведший к недоступности размещенных под доменом ресурсов, – это проблема доступа из второй группы. Подделка записей, соответствующих доменному имени, в локальной DNS интернет-провайдера относится к третьей группе.
Административный апокалипсис, или Главный рубильник
Довольно часто можно услышать такие вопросы: где находится главный рубильник от Интернета? Существует ли такой рубильник? Можно ли отключить Интернет? Это первейшие вопросы из области администрирования доменов, потому что касаются особенностей управления системами адресации на самом верхнем уровне. Часто
на эти вопросы дают такой общий ответ: «Интернет является распределенной системой и не управляется какой-то одной организацией, а поэтому отключить его «одним рубильником» невозможно». Но этот ответ неполон. И неверен.
В действительности существует даже несколько «главных рубильников». Например, как мы уже разобрались выше, для современного массового пользователя Интернет немыслим без DNS. DNS, конечно, распределенная система. Однако данные в ней имеют общий источник – корневые серверы. Более того, все корневые серверы получают сведения об адресации из одного источника, которым является скрытый сервер, контролируемый компанией VeriSign (см. соответствующую главу книги). Очевидно, что если отключить корневую зону DNS или изменить записи в ней, то либо глобальная доменная система имен окажется полностью недоступна, либо недоступны будут какие-то сегменты, ветви, доменного пространства. Пользователи, набирающие привычные имена доменов в адресной строке браузера, не смогут попасть на свои любимые сайты – для них Интернет будет выключен. Итак, мы довольно быстро нашли первый «главный рубильник» – он в руках тех организаций, которые контролируют корневую зону DNS.
Обмен данными в Интернете, в рамках IP-протокола, организован таким образом, что определяющее значение имеют так называемые автономные системы (упрощенно можно сказать, что это группы узлов, находящиеся под общим управлением и обменивающиеся данными в рамках общей для этой группы политики). В глобальной сети автономные системы известны по номерам, распределением которых в конечном итоге также ведает ICANN (через IANA и сообщества интернет-провайдеров). Каждый известный и достаточно крупный интернет-сервис представляет собой автономную систему (или несколько). Например, Google представлен несколькими автономными системами, не исключение и «Яндекс». Другим примером являются хостинг-провайдеры – обычно они также работают в рамках одной или нескольких собственных автономных систем. Если организация, распределяющая номера автономных систем, решит, что, скажем, у Google не должно быть номера автономной системы, и удалит этот номер из особых таблиц, определяющих маршрутизацию, то достаточно быстро сети Google окажутся недоступны в Интернете – Google погаснет. IP-адресация – это второй «главный рубильник».
Есть и рубильники поменьше, позволяющие отключить только какой-то сегмент адресного пространства, например сайты, размещенные у заданного хостинг-провайдера, или домены, размещенные в заданной доменной зоне. Конечно, не стоит делать выводы, что тот или иной «главный рубильник» будет использован. Пока что таких прецедентов не было. Тем не менее «рубильники» существуют.
Разберем ситуацию с рубильником от DNS на простых примерах. Удалить из доменной зоны можно не только домен второго уровня, но и домен первого уровня. Оба этих момента мы рассмотрели ранее. В результате все сайты в домене станут недоступны. Так как опрос DNS начинается с корневых серверов, то внесение изменений в корневую зону позволяет не только отключить любой домен первого уровня, но и, например, перенаправить трафик внутри этого домена на другие адреса. Конечно, требуется административный доступ к корневой зоне DNS.
Посмотрим на катастрофический сценарий с DNS чуть более детально. Предположим, что кому-то требуется перехватить управление некоторым национальным доменом. Адресация в национальном домене глобально определяется серверами имен, которые заданы для него в корневой зоне. Путь для перехвата: изменяется запись в корне, новая версия указывает на другие сервера имен. Все корневые серверы получают файл доменной зоны из одного источника. Соответственно, если изменить адреса в исходном файле, то при очередном обновлении изменения распространятся на все экземпляры распределенной корневой зоны.
После изменения адресов серверов имен в корневой зоне начнется постепенное вытеснение старой информации об адресации в зоне (а она касается всех доменов уровнем ниже) из глобальной DNS. Постепенное, потому что записи на разных серверах кэшируются.
Понятно, что на новых серверах домена верхнего уровня может быть прописана совсем другая адресация для имен уровнем ниже. Но можно и сохранить имевшуюся на момент перехвата управления адресацию. Для этого потребуется заблаговременно получить файл зоны с действующих серверов имен, содержащий все записи о доменах уровнем ниже. Разместив на новых серверах имен копию старого файла зоны, можно замаскировать перехват: для пользователей ничего не изменится. (Конечно, файл зоны может быть «засекречен», но на уровне положения операторов корня DNS такой расклад выглядит непрактичным: они могут попросить свежую копию заранее.)
Забрав управление доменом в описанном незаметном режиме, новый администратор может переадресовать только какие-то ключевые сайты, оставив основную часть адресных настроек без изменений. Этот способ особенно хорош в том случае, если новый администратор не желает, например, чтобы под удар попали лояльные к нему интернет-сервисы: ведь понятно, что если удалить домен полностью, то недоступными окажутся все ресурсы сразу; копирование установленной адресации сильно смягчает ситуацию для рядовых пользователей. (Да, администраторы не смогут менять настройки доменов и т. п., и т. д. но это не так страшно.)
Заметьте, что изменение DNS коснется и электронной почты в домене. Она начнет ходить «не туда».
