DNS систему (Domain Name System) се не посвећује пажња коју заслужује, што доводи до многих ризичних ситуација Јавност није освешћена да постоје велике опасности од преузимања контроле над појединим деловима DNS система који могу да воде до преузимања контроле над било којом активношћу на Интернету (приступ веб локацијама, веб сервисима, мејловима...). У презентаији која је пред вама, можете сазнати зашто је DNS систем критичан за рад доменских простора, односно целог Интернета и како Регистар националних интернет домена Србије брине о безбедности домаћег Интернета.

1. DNS систем и безбедност
Жарко Кецић
Октобар 2017.Београд

2. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
DNS и безбедност?
Чему брига око DNS-а?
DNS је веома моћан, свеприсутан и
углавном игнорисан.
ТО ЈЕ ВЕОМА ОПАСНА КОМБИНАЦИЈА!

3. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
DNS је често занемарен!
DNS углавном није у фокусу, када су у питању инвестиције, а често
ни када је у питању одржавање сервиса.
Када говоримо о DNS систему, многи користе:
• старе верзије софтвера,
• стару опрему,
• низак ниво редундантности,
• никакве или алате мале оперативне вредности за праћење рада DNS-а,
• неадекватне (неискусне) DNS администраторе.
DNS није „cool“!

4. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Када сам био мали желео сам да
будем DNS администратор!
• Бити DNS администратор није баш престижан посао (мали број деце тежи да
буде DNS администратор – већина њих жели да буде маркетинг менаџер ☺)
• Код нас, а и у свету, нема скупова чија је тематика искључиво развој и
оперативна пракса везана за DNS. Једини изузетак је DNS-OARC
(https://www.dns-oarc.net/)
• DNS је оперативно критичан, а истовремено небитан и самим тим је за већину
нејасан и непознат.
Колико пажње посвећујете својим DNS серверима?

5. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Све апликације се ослањају на DNS
▪ и-мејл
▪ WWW
▪ Peer to peer апликације
▪ Instant messaging
▪ Voice over IP, итд…
Практично, све апликације на Интернету зависе од DNS-а. То DNS сервис ставља у
потпуно различиту категорију у односу на остале Интернет сервисе. Ако, на пример, и-мејл
не ради, све остало ће радити, али ако DNS стане скоро све остало ће стати.
DNS је једна од кључних технологија без које
Интернет не би функционисао!

6. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Ако контролишем ваш DNS…
… могу да контролишем ваш свет.
Користите online banking? Тргујете на eBay-у? Шаљете и примате важне и-мејл поруке? Ако
неко контролише ваш DNS може вас преусмерити где год жели.
Већина корисника не разуме DNS, пре свега, јер им није ни потребно да разумеју како
ради да би користили Интернет. DNS једноставно функционише!
Баш зато што DNS „једноставно функционише“, нико му не посвећује потребну пажњу и
веома мало се говори о чињеници да DNS може веома лако да буде искоришћен за
злонамерне активности.
Због тога је потребно да свима, а нарочито ИТ професионалцима скренемо пажњу на
могуће злоупотребе DNS-а.

7. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Карактеристике DNS-а
▪ Да буде увек доступан – ако DNS није доступан, за његове кориснике Интернет је „пао“ (или, ако
је сервер ауторитативан за зону, та зона није доступна осталим корисницима)
▪ Да буде поуздан – ако DNS враћа нетачне вредности корисници могу бити преусмерени на
интернет локацију где ће његови поверљиви подаци бити компромитовани, или на локацију која
може да „зарази“ компјутер
▪ Да буде брз – учитавање једне веб стране може да захтева десетине, па и стотине DNS упита
(како би се осећали када би одговор на сваки упит чекали само секунду?)
▪ Да буду прилагодљиви и флексибилни – постоје различите намене и потребе корисника
▪ Да буде проширив – има много ствари које DNS може да обавља, још увек не знамо шта је то, али
треба оставити могућност да се DNS развија
Kако DNS функционише!

8. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
DNS систем
Основни задатак DNS система је мапирање
назива домена у IP адресу:
▪ www.rnids.rs = 87.237.205.199
▪ Као и многа друга мапирања
(и-мејл сервер (MX), IPv6 (AAAA), инверзно
мапирање…)
DNS је хијерархијски организован
▪ Свака зона има ауторитативну DNS структуру и
садржи локалне податке.
Root
срб rs com
rnidsпр ciscoac
ni bg

9. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Како ради DNS
DNS упити се разрешавају у неколико корака
– од хијерархијски виших нивоа ка нижим.
Корисник
www.rnids.rs?
www.rnids.rs A
87.237.205.199 DNS
разрешивач
(ресолвер)
Root
DNS сервер
rs DNS сервер
rnids.rs DNS сервер

10. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Слабости DNS-а
DNS је дизајниран да подаци буду доступни
• DNS подаци се реплицирају на више сервера
• DNS зона „ради“ ако је и само један сервер доступан.
DDoS напад на root зону мора да онеспособи 13 root сервера са великим бројем
еникаст инстанци.
DNS не укључује проверу валидности података
• Било који DNS одговор се прихвата
• Ресолвер не разликује исправне од неисправних одговора
Само један root сервер са невалидним подацима може да поремети читав Интернет.

11. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Лоши момци знају слабе тачке DNS
сервиса
Због својих слабости DNS сервис представља сталну мету злонамерних
корисника Интернета.
Циљеви нападача могу бити различити, од политичких и верских до материјалних, или
једноставно деструктивних. Напади могу бити изведени на различите начине:
• Man in the middle – пресретање и измена DNS пакета.
• Cache poisoning – када се погрешне информације убацују у DNS податке које многи
сервери чувају у локалној бази.
• Malware – деструктивни програми који могу да измене host фајл или податке о DNS
серверима.
• DoS, DDoS и rDDoS напади – DNS представља једну од најкоришћенијих технологија за
спровођење напада на друге системе (botnet command and control)

12. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Може ли одговор да изгледа овако?
Корисник
www.rnids.rs = 87.237.205.199
www.rnids.rs?
www.rnids.rs A
68.178.242.111 DNS
разрешивач
(ресолвер)
Root
DNS сервер
rs DNS сервер
rnids.rs DNS сервер

13. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Једноставан MITM напад
Први одговор који стигне „побеђује“, сви
стали су одбачени!
Корисник
www.rnids.rs?
www.rnids.rs A
87.237.205.199 DNS
разрешивач
(ресолвер)
Root
DNS сервер
rs DNS сервер
rnids.rs DNS сервер

14. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Комплекснији напад Cache poisoning
Сви корисници „зараженог“ DNS сервера добијају погрешан одговор!
Вероватноћа = 1 − 1 −
1
𝑡
𝑛 𝑛−1
2

15. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Употреба лажне (spoofed) адресе
Ако не размишљате као нападач нећете одмах схватити зашто би ико користио лажну
адресу. Има неколико разлога:
▪ Жели да остане анониман
▪ Жели да његов систем остане што дуже неблокиран
▪ Жели да саобраћај усмери ка рачунару жртве
IP = 1.2.3.4
IP = 1.2.3.4
IP = 151.62.74.83
151.62.74.83
IP = 151.62.74.83
1.2.3.4
20b/q q x 200

16. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
DDoS напад
„Botnet“ или мрежа зомбија je велики број
рачунара на Интернету који
су заражени злонамерним програмом
који контролише нападач.
Botnet
(зомбији)
Нападач
Жртва
Власници тих рачунара нису свесни да
нападач користи њихове ресурсе за
напад на рачунар/систем жртве.

17. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
rDDoS – рефлекторски
(амплифицирани) DDoS напад
DNS сервери (користе UDP протокол) су најчешће
Коришћени „рефлектори“ за реализацију rDDoS напада.
Одговор DNS сервера може бити и до 200
пута већи од величине DNS упита.
За напад на Spamhaus (900Gb/s) употребљен је
botnet и „отворени“ DNS ресолвери широм света.
Процењује се да у свету има више од 20 милиона лоше
конфигурисаних DNS сервера.
Botnet
(зомбији)
Нападач
Жртва
Рефлектори

18. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Како се одбранити?
▪ Редовно проверавати ДНС рекорде у родитељској зони.
▪ Забранити саобраћај адресама које нису део вашег система (SAV –Source Address
Validation).
▪ Редовно ажурирање софтвера (инсталација нових верзија DNS сервера и надградњи).
▪ Дозволити разрешавање DNS упита само за кориснике вашег система.
▪ Активирати „Response Rate Limiting“ (RRL) на ауторитативним серверима који одговоре
пружају свима.
▪ DNSSEC (валидација је једнако важна!)
РНИДС би ускоро требало да потпише обе TLD зоне и све зоне другог нивоа које су у
његовој надлежности.

19. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Шта РНИДС ради?
▪ Користи најбољу праксу и константно прати функционисање система.
▪ Користи адаптивни „Response Rate Limiting“ (RRL) на DNS северима који су под
контролом РНИДС-а.
▪ За TLD зоне користи еникаст сервис глобалних DNS оператера (више од 300 глобално
распоређених DNS сервера).
▪ Имплементирана савремена решења за заштиту система за регистрацију назива
домена.
▪ Корисницима омогућава три врсте заштите назива домена.

20. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Систем за регистрацију назива
домена
Rsreg
DNSSEC
SSL/TLS
WAF
IP филтрирање
Системи
ОР-ова
Корисници
▪ Савремени системи заштите и детекције напада.
▪ Ограничена права приступа систему за регистрацију и креирање и потписивање зона.
▪ Шифрирање саобраћаја.

21. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Заштита за кориснике
Сигуран режим – Свака промена критичних података на систему мора да буде потврђена
од стране корисника (аутоматизован систем).
Закључавање на страни клијента – Корисници кроз системе овлашћеног регистра
забрањују промене података о домену (препоручена имплементација за ОР захтева
мануелно откључавање од стране оператера ОР-а).
Закључавање на страни регистра – На захтев корисника РНИДС забрањује промене
података о домену. Мануелна операција која захтева потврду најмање два контакта
овлашћена од стране регистранта.

22. Октобар 2017, БеоградDNS систем и безбедност / Жарко Кецић
Хвала на пажњи
Жарко Кецић
www.rnids.rs
рнидс.срб
www.domen.rs
домен.срб