I DNS Server non sono sicuri!

I DNS Server fanno ormai parte della nostra vita quotidiana. Vengono ampiamente utilizzati per permetterci di interagire su internet, ed usufruire di tutti i servizi che possano esistere.

Dns Alert

Ma questo strumento tanto usato e su cui si poggia il funzionamento di “internet”, è effettivamente sicuro ed affidabile?

Rispondiamo al quesito:

La risposta purtroppo è negativa, e questo lo si deduce analizzando le RFC che spiegano il funzionamento del protocollo. Proposto nelle RFC 882 e RFC 883, si può bene vedere che il fulcro del funzionamento si basa su quello che è il concetto di distribuzione e scalabilità del servizio, sfruttando alla base una comunicazione di tipo UDP. Nelle successive revisioni come RFC 1034 e RFC 1035, viene sempre più delineato il protocollo, ma non viene mai affrontato il concetto di sicurezza ed affidabilità.

Da queste affermazioni ed analizzando nel dettaglio il funzionamento di un DNS Server si evince la sua natura, ovvero un servizio basato sulla reciproca fiducia, con la quale si da per scontato che ogni query effettuata, ed ogni sua risposta siano legittime ed affidabili.

Quali sono i punti deboli di un DNS Server?

Negli anni si è arrivati alla scoperta di buchi nel protocollo ed alla possibilità di effettuare degli attacchi di tipo MITM, nel dettaglio chiamati DNS SPOOFING o CACHE POISONING, ma non sottovalutiamo gli attacchi di Distributed Denial of Service (DDoS) che possono bloccare temporaneamente l’erogazione del servizio e quindi l’accesso ad un gruppo anche esteso di risorse in Internet.

I DNS Server sono pubblici, e contengono informazioni di pubblico dominio, visto che la natura del suo funzionamento è quello di rispondere a delle query ritornando delle informazioni atte a permettere di raggiungere una determinata destinazione, e viceversa. Pertanto quando si parla di sicurezza ed affidabilità, non si fa riferimento a quello di criptare le informazioni in esso contenute, ma rispettivamente a :

  • garantire l’autenticità dei dati;
  • garantire l’integrità dei dati;
  • la veridicità che una zona o record esista;

Gli attacchi menzionati prima non fanno altro che intaccare proprio questi tre punti, andando ad alterare il dato stesso rendendo le query non autentiche ed integre!

Come garantiamo l’integrità ed affidabilità del record?

Partendo da queste osservazioni e purtroppo da alcuni noti attacchi informatici avvenuti, sono stati redatti i seguenti RFC 4033, RFC 4034 e RFC 4035 che hanno dato il via all’introduzione di un sistema di sicurezza ed affidabilità sui DNS Server.

Il sistema di sicurezza implementato prende il nome di DNSSEC (Domain Name System Security Extensions), altro non è che un sistema formato da diversi standard che permettono un’ autenticazione della sorgente, garantendo così l’autenticità e l’integrità dei dati.

Il DNSSEC non è altro che un metodo di crittografia a chiave asimmetrica, ovvero una chiave privata ed una pubblica, questo sistema permette ad ogni Server coinvolto nella TRUST CHAIN, di poter Firmare ogni record e dare la possibilità di poter verifica se il record sia integro o meno, grazie alla chiave pubblica.

A che livello è l’implementazione di DNSSEC

Anche se già vi sono numerosi DNS Server che fanno parte della Chain Of Trush, a partire dai 13 Root Server, ancora la strada è molto lontana a causa della difficoltà di implementare le specifiche del nuovo protocollo sui DNS Server, che purtroppo non tutti ancora supportano.

Curioso e con tanta voglia di sapere, fui attratto dal mondo dell'informatica, in cui mi ci buttai a capofitto. Dal 2005, ho fatto della mia passione principale, il Networking associato al mondo dei sistemi in ambiente Gnu/Linux, il mio lavoro quotidiano.

Comments are closed.