2. Tổng quan về địa chỉ IPv6
2.6.3. Tác động bảomật và khuyến nghị
Khuyến nghị an ninh DNS chung
Tất cả các tài khoản chung của các mối đe dọa chống lại DNS (RFC 3833) và tư vấn cho các DNS bảo mật, độc lập của IPv6, được áp dụng. Này bắt đầu với an ninh máy chủ và phần mềm bảo mật cho các máy chủ DNS. Nó bao gồm giữ với phần mềm mới, cảnh báo dễ bị tổn thương, và các bản vá lỗi. Bảo mật các máy chủ DNS có thể được cải thiện với cô lập, sự thừa, sự đa dạng về địa lý, đa dạng đường dẫn mạng, và sự đa dạng nền tảng có khả năng. Truy cập quản trị nên được kiểm soát và bảo mật. Công cụ để kiểm tra xem một khu tập tin cũng được hình thành hoặc rằng các biến cấu hình khác được thiết lập một cách chính xác nên được sử dụng. Máy chủ DNS nên được bao gồm trong bất kỳ bài tập thử nghiệm thâm nhập.
Rất tốt để thực hiện một số thực hành bảo mật nổi tiếng tốt nhất, mà dựa vào không tiết lộ thông tin nhiều hơn cần thiết. Địa chỉ IP của một máy chủ ẩn
không nên được quảng cáo, cũng không nên số phiên bản phần mềm DNS, vì sợ rằng một kẻ tấn công dễ dàng khai thác những lỗi được biết đến là trong một thông cáo nhất định. Triển khai phổ biến hỗ trợ kiểm soát truy cập DNS danh sách dựa trên địa chỉ IP, và ít nhất một số trong những hỗ trợ kiểm soát truy cập danh sách dựa trên cả hai địa chỉ IPv4 và IPv6. An ninh dựa trên địa chỉ được coi là một hình thức xác thực khá yếu, đặc biệt là đối với các hành động quan trọng như DNS động cập nhật, nhưng nó vẫn là một cách hiệu quả để cung cấp một số bảo vệ nếu nó được sử dụng cùng với xâm nhập và lọc địa chỉ đi ra. Các kỹ thuật được sử dụng rộng rãi của-split DNS ", theo đó các máy chủ DNS của một doanh nghiệp cung cấp các câu trả lời khác nhau cho các truy vấn bên trong và bên ngoài, có thể được sử dụng theo cùng một cách với cả một bản ghi hoặc AAAA hồ sơ.
Dựa trên kinh nghiệm gần đây, hai kịch bản tấn công đặc biệt có khả năng. Một là từ chối dịch vụ. Vượt quá năng lực và giúp đỡ đa dạng. Tường lửa và hệ thống phát hiện xâm nhập có thể giúp bảo vệ một máy chủ đặt tại một phi quân sự khu vực quản trị viên "nên chuẩn bị để liên hệ với các đội phản ứng khẩn cấp thích hợp và các cơ quan thực thi pháp luật. RFC 5358 có lời khuyên cho các cấu hình máy chủ DNS để làm cho việc sử dụng chúng như là bộ khuếch đại trong một cuộc tấn công từ chối dịch vụ đối với bên thứ ba khó khăn hơn.
Kịch bản thứ hai là cái gọi là cache poisoning chèn thông tin sai sự thật vào một bộ nhớ cache của máy chủ, do đó, ví dụ, người dùng có thể bị nhầm hướng đến một trang web giả mạo. Đây là một ý tưởng cũ, nhưng một phương pháp hiệu quả hơn nhiều để hoàn thành nó trở nên nổi tiếng vào năm 2008. Có hoặc không có bảo vệ mật mã, các biện pháp khắc phục được đề nghị là để buộc những kẻ tấn công đoán hai lựa chọn ngẫu nhiên 16-bit giá trị cùng một lúc thay vì chỉ một (RFC 5452).
Bảo vệ mật mã của DNS
Hai giao thức chuẩn mã hóa có sẵn để đảm bảo cho DNS. Chúng có thể được sử dụng như nhau với IPv4, IPv6, và kết hợp IPv4-IPv6 triển khai. DNSSEC, các phần mở rộng bảo mật DNS, được định nghĩa trong ba RFC (RFC 4033,
4034, 4035), và TSIG, khóa bí mật giao thức xác thực giao dịch được mô tả trong RFC thứ tư (RFC 2845).
Giao thức TSIG cung cấp xác thực nguồn gốc dữ liệu và toàn vẹn thông điệp cho các giao dịch DNS bằng cách thêm mã xác thực thông điệp dựa trên các bí mật chia sẻ. Ban đầu, chỉ có HMAC-MD5 thuật toán là quy định, nhưng TSIG hiện nay đòi hỏi HMAC-SHA-1 và HMAC-SHA-256 là tốt (RFC 4635) 28. Nó có thể được sử dụng để xác thực thông tin cập nhật năng động như đến từ một khách hàng đã được phê duyệt, đáp ứng như đến từ một máy chủ tên đã được phê duyệt đệ quy, hoặc di chuyển vùng như đến từ một máy chủ có thẩm quyền. Sử dụng phổ biến nhất của nó là để bảo vệ di chuyển vùng, nhưng bảo vệ nâng cấp động là một ứng dụng quan trọng là tốt.
TSIG được triển khai rộng rãi và khuyến khích mạnh mẽ. Thông thường, các quản trị mạng sử dụng một cơ chế out-of-band để cấu hình các máy chủ phân giải tên và với những bí mật được chia sẻ. Tuy nhiên, một cơ chế tự động và an toàn để phân phối khóa và cập nhật chính là một giải pháp mong muốn nhiều hơn nữa. Nó đơn giản hóa hoạt động và tăng cường an ninh. Các giao thức TKEY (giao dịch Key) (RFC 2930) cung cấp các tùy chọn một số phương pháp Diffie-Hellman là một lựa chọn thực tế. Một hạn chế với TSIG là rằng không có các cấp có thẩm quyền, do đó, bất kỳ máy chủ lưu trữ với khóa bí mật có thể cập nhật bất cứ hồ sơ.
Một thay thế cho TSIG gọi là SIG (0) và mô tả trong RFC 2931 sử dụng khóa công khai và chữ ký kỹ thuật số thay vì các mã xác thực thông điệp dựa trên các bí mật chia sẻ. Ít được sử dụng rộng rãi hơn TSIG, nhưng nó có thể là một lựa chọn thực tế đặc biệt là để đảm bảo cho các nâng cấp động.
DNSSEC cung cấp một tập hoàn toàn khác nhau của cơ chế bảo mật mật mã. Mục tiêu của nó là để đảm bảo cơ sở dữ liệu DNS chính nó bằng cách triển khai một cơ sở hạ tầng phân cấp ký kết các bản ghi tài nguyên và xây dựng trong hạ tầng khóa công khai của mình. Nó thực hiện điều này bằng cách xác định bốn loại hồ sơ tài nguyên mới. Các bản ghi tài nguyên RRSIG (RR) có chứa một chữ ký kỹ thuật số của một kỷ lục tài nguyên. Tài nguyên DNSKEY (Domain Name System Key) ghi chứa một khóa xác minh chữ ký, lần lượt, được ký kết với một bản ghi tài nguyên RRSIG. DS (đoàn người ký) RR tên
người ký tên của đoàn đại biểu. Nếu DNSSEC được triển khai đầy đủ, các hồ sơ DS có thể tạo thành một chuỗi từ bất cứ vùng gốc. Các bản ghi tài nguyên NSEC (bên cạnh an toàn) quy định cụ thể tên của các mục nhập bảo đảm tiếp theo trong một khu vực (theo thứ tự tự từ điển), do đó, sự tồn tại của một bản ghi tài nguyên có thể được xác minh mã hóa.
Bên cạnh phức tạp nhất của nó, đặc biệt là ký kết các khu lớn, DNSSEC cũng làm tăng kích thước của các tập tin và tin nhắn đáng kể. Ngoài ra, các quản trị viên cần phải bảo vệ sự bí mật của các phím ký cá nhân của họ một cách cẩn thận. DNSSEC đã không được triển khai rộng rãi được nêu ra, nhưng điều này đang dần thay đổi. Phiên bản mới hơn của DNS DNSSEC hỗ trợ các phần mềm, và các kế hoạch đang được tiến hành để đăng nhập gốc và nhiều lĩnh vực chính cấp cao nhất. Chính phủ Hoa Kỳ gốc của chính phủ đã được ký kết vào tháng hai 2009, và OMB mandated29 tên miền cấp cao thứ hai của Chính phủ cần phải có chữ ký của Tháng Mười Hai 2009. OMB Bản ghi nhớ M-08- 23 tiểu bang: của Chính phủ phụ thuộc trên Internet để phổ biến và cung cấp truy cập thông tin đã tăng lên đáng kể trong những năm qua, như có các rủi ro liên quan đến khả năng sử dụng trái phép, thỏa hiệp, và mất mát của các chính phủ miền không gian. . Hầu như tất cả các thể hiện của truyền thông mạng bắt đầu với một yêu cầu đến hệ thống tên miền (DNS) để giải quyết một tên con người có thể đọc được cho một nguồn tài nguyên mạng (ví dụ, www.usa.gov) vào các thông tin kỹ thuật (ví dụ, địa chỉ Internet Protocol) cần thiết để thực sự truy cập tài nguyên từ xa. DNSSEC cung cấp bảo vệ mật mã để DNS trao đổi thông tin liên lạc, do đó loại bỏ các mối đe dọa của các cuộc tấn công dựa trên DNS và cải thiện tổng thể toàn vẹn và tính xác thực của thông tin xử lý qua Internet "Hy vọng rằng điều này sẽ cung cấp các động lực và kinh nghiệm cần thiết để có được DNSSEC triển khai cho phổ biến. sử dụng dịch vụ và các doanh nghiệp lớn trên khắp Internet.
IPv6 cụ thể khuyến nghị bảo mật DNS
Trong bất kỳ triển khai IPv6, các dịch vụ DNS có thể phải hỗ trợ cả IPv4 và IPv6. Trong thực tế, DNS dịch vụ cần được những người đầu tiên là hoàn toàn có khả năng dual stack trong bất kỳ nỗ lực triển khai. Ứng dụng phần mềm cần phải được sửa đổi để truy vấn cho cả hai hình thức địa chỉ và lựa
chọn giữa họ. IPv4 có thể cần phải duy trì các giao thức mạng giữa một máy chủ bộ nhớ đệm và các máy chủ DNS có thẩm quyền để đảm bảo tính liên tục của dịch vụ. Nhiều yếu tố có thể ảnh hưởng đến hiệu suất mạng và sẵn sàng trong suốt quá trình chuyển đổi này, và chúng có thể ảnh hưởng đến truy cập cả IPv4 và IPv6. DNS có thể cung cấp AAAA hồ sơ trước khi các dịch vụ đầy đủ bật và kết nối, và timeouts có thể xảy ra. Các ứng dụng có thể được chuẩn bị để xử lý. Bộ nhớ đệm phân giải có thể có để đối phó với A và AAAA hồ sơ có giá trị time-to-live khác nhau.
Điều quan trọng là để xác minh rằng phân giải của khách hàng được nhận được các câu trả lời chính xác và bản ghi tài nguyên. Một giai đoạn thử nghiệm đang diễn ra cho dịch vụ DNS IPv6 có khả năng là một bước cần thiết trong quá trình triển khai IPv6 của bất kỳ tổ chức nào. Khi quá trình này bao gồm các phần mềm thử nghiệm ứng dụng IPv6, các máy chủ DNS riêng biệt và tên miền được sử dụng để hỗ trợ đồng thời phân giải tên hoạt động thử nghiệm IPv6 và IPv4.
DNS phản ứng với các bản ghi AAAA là dài hơn IPv4 phản ứng tương tự, trong hồ sơ vì chỉ đơn giản là lớn hơn so sánh bản ghi A và các giao diện có thể có nhiều hơn một địa chỉ IPv6 trong DNS. Khu tập tin kích thước chuyển giao sẽ tăng lên và, có khả năng, phản ứng trả lại nhiều bản ghi tài nguyên AAAA (ví dụ như MX yêu cầu) có thể yêu cầu phân mảnh. Kể từ khi mảnh vỡ IPv6 không được khuyến khích, và đôi khi bị chặn, điều này có thể ảnh hưởng sẵn có.
Một số máy chủ có thẩm quyền bỏ qua các truy vấn cho một bản ghi AAAA và gây ra một giải quyết đầu tiên để chờ đợi và thời gian chờ và sau đó rơi trở lại một truy vấn cho một bản ghi A, có thể gây tử vong một thời gian chờ ứng dụng được gọi là giải quyết. Ngay cả khi hệ thống xử lý và ứng dụng cuối cùng thành công, kết quả có thể là một sự chậm trễ không thể chấp nhận được cho người sử dụng của ứng dụng, đặc biệt là với các ứng dụng tương tác như duyệt web.
Quảng cáo địa chỉ IPv6 trong DNS trong quá trình triển khai ban đầu đòi hỏi phải chăm sóc thêm. Vấn đề có sẵn một cách dễ dàng có thể phát sinh nếu các bản ghi AAAA được chèn vào vùng DNS trước khi IPv6 dịch vụ đang làm việc. Khuyến nghị rằng các bản ghi AAAA cho một dịch vụ không nên được thêm vào một vùng DNS cho đến khi địa chỉ được giao một giao diện trên một host, địa chỉ cấu hình và kích hoạt trên giao diện của máy chủ, và cuối cùng giao diện các trên một liên kết kết nối với cơ sở hạ tầng IPv6.