Tecnologie di Sicurezza in Internet APPLICAZIONI Domain Name System AA Ingegneria Informatica e dell’Automazione
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/2 DNS Il Domain Name System è: la sintassi per specificare in modo gerarchico le entità in Internet le regole per delegare l'autorità sui nomi i sistemi che mappano i nomi sugli indirizzi e viceversa
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/3 Concetti fondamentali Il Domain Name System è un database gerarchico e distribuito. Memorizza informazioni per mappare i nomi host di Internet in indirizzi IP e vice versa, informazioni per spostare correttamente la posta elettronica e altro. I computer (clients) cercano informazioni nel DNS tramite una libreria di sistema (resolver) che manda query a uno o più name server e interpreta le risposte.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/4 Domain names Le informazioni contenute nel DNS sono identificate da domain names organizzati ad albero, secondo criteri organizzativi o amministrativi. Ogni nodo dell'albero ha un'etichetta (domain) che, concatenata a tutte le etichette fino al nodo root, forma il domain name del nodo. Es.: mail.example.com Il nodo root può essere indicato esplicitamente con un trailing ‘.’
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/5 Domain names L’ultima etichetta di un domain name si chiama top level domain (TLD); i TLD possono essere generici o regionali. I principali TDL generici sono: com, net, org, edu, mil, biz, info, name, ecc… I TDL regionali seguono invece lo standard ISO (alpha-2: codici di paese a due caratteri): it, de, se, es, ecc…
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/6 Domain names La struttura tipica di un domain name completo inizia con il nome di un host e termina con un TLD. Questo è solitamente denominato FQDN, cioè fully qualified domain name. mail.us.company.net tenge cr3.FRA3.content-core.net
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/7 Zones Lo spazio dei nomi nel DNS, gerarchico nella sua struttura logica, è fisicamente suddiviso in partizioni, dette zone; ciascuna zona è amministrata indipendentemente. Le informazioni che caratterizzano la zona sono contenute in un name server nella forma di resource records (RRs); il name server risponde a queries. queries e answers sono effettuate come descritto nel DNS protocol.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/8 Zones Una zona è un point of delegation nell'albero dei nomi DNS e al contempo container per tutti i nomi gestibili da quel nodo dell’albero in giù, ma non contenuti in ulteriori zone di livello inferiore (la cui gestione è stata per definizione delegata) Il punto di delega è caratterizzato dalla dichiarazione di uno o più NS records che asseriscono l'esistenza di name server che servono i nomi di quella zona.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/9 Resource Records AIPv4 Address record. An IPv4 address for a host. PTRIP address (IPv4 or IPv6) to host. Used in reverse maps. reverse maps CNAMECanonical Name. An alias name for a host. SOAStart of Authority. Defines the zone name, an contact and various time and refresh values applicable to the zone. NSName Server. Defines the authoritative name server(s) for the domain (defined by the SOA record) or the subdomain. MXMail Exchanger. A preference value and the host name for a mail server/exchanger that will service this zone. SPF, SRV, TXT, …
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/10 Servers Ciascuna zona è servita da almeno un authoritative name server. Possono essercene più di uno, per ridondanza. Le risposte provenienti da tale name server hanno il bit AA posto a 1 nel pacchetto di risposta a una query.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/11 Servers Il name server dove una zona è gestita è detto primary. Un amministratore provvede all'editing di un file contenente le informazioni della zona (zone file). Gli altri server autoritativi per una zona (detti secondary servers) ne ricevono i dati (dal server primario o da un secondario) con un processo di replica denominato zone transfer.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/12 Servers Caching Name Servers I name server possono anche rispondere con informazioni sulle quali non hanno autorità e che devono richiedere ad altri name server, seguendo ricorsivamente l'albero fino al name server autoritativo. Forwarders Il complesso processo ricorsivo di risoluzione del nome può essere inoltre delegato interamente ad altri server, detti forwarders.
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/13 Servers Recursive queries Per risolvere un FQDN, i server percorrono l’albero corrispondente nel seguente modo. Esempio: Receive Query for resolving “ “ Query NS(‘.’) for ‘com’ NS(‘com’) Query NS(‘com’) for ‘ibm’ NS(‘ibm’) Query NS(‘ibm’) for ‘www’ A(‘www’)...
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/14 Clients Il client DNS si chiama in realtà resolver. Si tratta di un componente del sistema operativo che richiede un minimo di configurazione: serve almeno un IP address del DNS server da contattare per risolvere i nomi Opzionalmente è possibile specificare il dominio di default, ovvero il domain name da aggiungere alla query nel caso il nome non sia un FQDN Nei sistemi Microsoft esiste anche il DNS Client, che oltre a fare cacheing locale dei nomi DNS (funzionalità spesso dannosa) fa anche altro “Risolve e salva nella cache nomi DNS per il computer. Se il servizio è stato arrestato, il computer non sarà in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory…”
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/15 BIND Berkeley Internet Name Domain Software storico, la più diffusa realizzazione di name server, sviluppato da Internet Systems Consortium. BIND tools dig host nslookup
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/16 Ridondanze Single Point of Failures name server unico dietro a un singolo router a valle di un singolo collegamento in uno stesso AS afferenti a uno stesso BB
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/17 Ridondanze Primario e secondario è la ridondanza più comune, eventualmente con primario e secondario presso due Provider diversi o in punti diversi della rete sia per DNS interni che per DNS pubblici Load balancing con DNS Più RR relativi allo stesso nome vengono risolti ciclicamente (round-robin) --> server farm, server di posta… esempio wwwA wwwA wwwA wwwA
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/18 Protezioni Evitare il DNS cache poisoning Se possibile non usare la ricorsione ACL sui client che possono fare query di qualunque tipo ACL sui client che possono fare query ricorsive Usare le viste (BIND 9)
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/19 Protezioni Usare sistemi separati Advertising name server risponde solamente alle query per le quali ha informazioni autoritative (non esegue query ricorsive), che gli arrivano da tutti Resolving name server risponde alle query che gli arrivano solamente dall'interno della rete e può o meno contenere informazioni autoritative per zone interne Internal-only name server si può anche isolare completamente, a livello DNS, la rete interna da quella pubblica evitando di risolvere i nomi esterni
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/20 Protezioni Filtrare opportunamente il traffico Name server multiruolo dedicato se il sistema fa solo da name server, si può filtrare tutto il traffico non-DNS. Esempio di DNS installato sulla DMZ SRCADDRSRCPORTDSTADDRDSTPORT Inbound qry**NS53/udp Inbound AXFRSecondary-DNS*NS53/tcp Queries from internal networkInternal net*NS53/udp Outbound recursive qrysNS**53/udp
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/21 Protezioni Proteggere il zone transfer nel file di configurazione del server Anche nei secondari! Esempio options { allow-transfer { }; }; Usare TSIG key tsig-signing. { algorythm hmac-md5; secret "kas4ALDjalsjda=)da39WJD,W"; }; server { keys { tsig-signing.; };
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/22 Protezioni Eseguire con utente non-root Si crea un utente non privilegiato che ha accesso solo ai file contenenti i dati delle zone. Eseguire in chroot() jail Una compromissione di named risulterà in un accesso al sistema limitato a un ambiente e un filesystem ristretti
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/23 DNSSEC Il 2008 è stato un anno critico per il DNS: in febbraio Dan Kaminski si recò in ISC per mostrare una importante lacuna nel protocollo (non nelle implementazioni) DNS, il cui exploit poteva portare alla perdita dell’intero database a livello mondiale! Per la prima volta ISC, Microsoft, Cisco e altri vendor si attivarono e pubblicarono contemporaneamente alcune patch per i loro prodotti prima che venissero pubblicati dettagli sulla scoperta di Kaminski Le patch comunque non impedivano l’exploit ma ne rendevano solo più difficile l’esecuzione
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/24 DNSSEC In realtà il dettaglio alla base di questa lacuna era noto ad altri (D.J. Bernstein) dal 1999, ma nessuno in ISC si era reso conto del problema; comunque nel 2008 si mosse con urgenza perfino il management IT del governo americano! DNSSEC: consente ai server autoritativi di aggiungere firme digitali ai RR ai resolver di validare crittograficamente le risposte Alternative: djbdns
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/25 Esercizio: Enterprise DNS Configurazione dello spazio dei nomi di un DNS interno “enterprise”, ossia che serve la name resolution in tutti i siti dell’organizzazione Full mesh DC B A E DNS-A è primario per A e riceve le mappe B.. E come secondario DNS-B è primario per B e riceve le mappe A, C.. E come secondario DNS-E è primario per E e riceve le mappe A.. D come secondario... Ciascun DNS fa da primario per i nomi locali, ma sa risolvere tutti i nomi dell’organizzazione perché li riceve con zone transfer in qualità di secondario
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/26 Esercizio: Enterprise DNS Quando l’organizzazione è molto frammentata, i siti sono numerosi e piccoli e le risorse sono per lo più centralizzate, è più adatta una soluzione generalmente Hub’n’spokes DNS-HQ è primario per HQ e riceve le mappe A.. E come secondario; conosce quindi tutti i nomi dell’intera organizzazione DNS-A.. -E sono primari per A.. E e ricevono le mappe di HQ come secondari; conoscono quindi i nomi locali e i nomi della struttura centrale Ciascun DNS fa da primario per i nomi locali, che trasferisce al DNS-HQ e risolve anche i nomi dell’HQ HQ C D E A B
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/27 Esercizio: ISP change Cambio di ISP LAN INTERNET R2 ISP2 ISP1 EXT1 WWWDNSMAIL Firewall R1 EXT2 Si devono cambiare gli indirizzi IP delle macchine pubbliche, in particolare quello del DNS
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/28 Esercizio: public subnet change Cambio di subnet pubblica LAN INTERNET R DMZ OLD ISP EXT WWWDNSMAIL Firewall DMZ NEW
Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/29 Riferimenti Domain Administrators Operations Guide RFC 1033 Domain Names - Concepts and Facilities RFC 1034 Domain Names - Implementation and Specification RFC 1035 BIND 9 Administrator Reference Manual Securing an Internet Name Server CERT Coordination Center A. Householder, B. King DNS Cache Poisoning - the next generation J. Stewart