חזרה לעמוד הקודם

סדרה חדשה – מי שומר על אבטחת שאילתות DNS?

הסדרה מחקר שימוש ב-DNSSEC מביאה את תוצאותיו של ניסוי שערכו Geoff Huston ו-George Michaelson בנושא ברמת השימוש בהגדרות DNSSEC (DNS Security Extensions ) אצל ספקיות הרשת ברחבי העולם. בפוסט הקרוב נסקור בקצרה את ההיסטוריה של פרוטוקול DNSSEC, את הניסוי ואת המצב כיום ברשת.

רקע והיסטוריה

DNS הינו פרוטוקול מרכזי ברשת האינטרנט המאפשר תרגום של שמות מתחם לכתובות IP. הפרוטוקול מאפשר לכולנו לגשת לאתרים בצורה נוחה על ידי כתיבת כתובת האתר (למשל isoc.org.il) בניגוד לכתובת ה-IP של השרת (דמיינו שהייתם צריכים לזכור כתובת כגון 192.115.221.11). שרות זה גם מאפשר לאתרים לשמור על כתובת קבועה בהחליפם שרת אירוח ולכן הינו מרכב בסיסי בדרך בה שירותי רשת רבים פועלים.

הפיתוח המקורי של מערכת ה-DNS לא כלל התייחסות מעמיקה לנושא האבטחה היות מהמטרה המרכזית הייתה מערכת הפצה שניתן להתאימה להתרחבות עתידית. בשנת 1990 החל דיון על כשלי האבטחה של המערכת אך רק ב-1995 החל הדיון להניב מחקר רציני והכנת פרוטוקול לפתרון הבעיה. פרוטוקול זה כונה DNSSEC ועל פיתוחו היה אמון כוח המשימה לארכיטקטורת האינטרנט (IETF – Internet Engineering Task Force). הפרוטוקול החדש נועד להוסיף אמצעי אבטחה בתהליכי DNS שימנעו זיוף תשובות לשאילתות על ידי הכנסת הגדרות אבטחה תוך שמירת תאימות לאחור. עם זאת כאשר ב-1997 הוכנה תקינה המתייחסת לבעיות אבטחה אלו חוקרים בתחום מצאו בה כשלים רבים. בשנת 2005 פורסמה תקינה חדשה שהבשילה לכדי מערכת שאפשר ליישמה. למרות הכנת התקן בשנת 2005 ICANN תכננה ליישם אותו בשנת 2009 ובפועל הוא הוכנס לשימוש רק ב-2011.

הניסוי

בניסוי ממנו הופקו הנתונים יצרו החוקרים באנר פלאש הגורם לדפדפן הצופה בו למשוך שתי תמונות משרתי הניסוי. כל דפדפן המטעין את הבאנר מייצר קישורים לתמונות בעלות כתובת ייחודית (ושמות תת-מתחם ייחודיים) הדורשת ממנו לבצע שני תהליכי DNS. שתי הקישורים מובילים לשרתים החתומים בעזרת DNSSEC, אך באחד מהשרתים ההגדרות שונו באופן שאמור להכשיל את תהליך האימות של השרת, במידה והוא מתבצע.

הפעלת הבאנר על פלטפורמת הפרסום הביאה להרצת הבדיקה 4,965,129 פעמים. בניקוי 985,042 בדיקות שלא הסתיימו הניסוי כלל 3,816,822 הצגות של הבאנר שהובילו לבדיקת תקינות של מנגנוני DNSSEC. 

המצב כיום

מהניסוי עולה כי רק 1.7% משרותי ה-DNS הפומביים בעולם מבצעים אימות DNSSEC (כ-2,123 מתוך 126,780 שנבדקו). בישראל, מתוך 297 שרותי DNS שנבדקו רק אחד תמך ב-DNSSEC (כ-0.34%).

בנוסף, רק 1.6% מעמדות הקצה משתמשות בלעדית בשירותי DNS שמאמתים רשומות DNSSEC. בישראל מתוך 6127 ניסויים שבוצעו רק שתי עמדות קצה משתמשות בלעדית בשירותי DNS המאמתים רשומות DNSSEC (כ-0.03%).

נכון, הפריסה של הפרוטוקול מתקדמת לאט (ואפילו לאט מאוד) אך יש לזכור כי שינויים בבסיס התשתית של האינטרנט לוקחים זמן רב משהיינו רוצים. דבר זה נובע מהצורך להתקדם בזהירות כמו גם בקושי לשכנע שירותי אינטרנט להתקדם לתקן בו עדיין אין שימוש רחב (ראו מקרה IPV6). נשאר רק לקוות כי בעתיד יואץ תהליך היישום של הפרוטוקול וכי מנגנוני האבטחה יחזיקו מעמד וישמרו על שאילתות ה-DNS שלנו.

 למידע נוסף על הנושא והניסוי מומלץ לקרוא את מאמרו של ד"ר אריק פרידמן במגזין Digital Whisper המביא סקירה רחבה של הנושא ומתאר את הצד הטכני של פרוטוקול DNSSEC.