Archives

Route 53 pod útokem

29 října, 2019 5:55 pm Published by

Route 53 Amazonu byla vystavena masivnímu útoku Distributed Denial of Service (DDoS)

Amazon 24.10.2019 informoval své zákazníky, že služba Route 53 byla pod masivním DDoS útokem. Následkem útoku došlo k narušení DNS překladu. Konkrétně útok zasáhl name system S3 buckety.

Informace zaslána zákazníkům společnosti Amazon

Útok je možné zařadit do kategorie Slow Drip útoků. Při těchto útocích jsou na autoritativní name servery cílových domén zasílány průběžně dotazy, které obsahují neexistující pseudo-náhodně vygenerované subdomény. Přímým následkem takového útoku je přetížení kapacit napadených name serverů, které díky tomu mohou přestat odpovídat na legitimní dotazy.

Domény, využívané při útoku, byly generovány v následující podobě:

Příklad zasílaných dotazů (** použito pro anonymizaci)

Whalebone útok identifikoval

Ve Whalebone jsme úspěšně a včas probíhající útok identifikovali a upozornili naše nejvíce dotčené zákazníky.

Předzvěst útoku bylo možné najít již 19.10.2019. Jak lze vidět na grafu níže, proběhla právě tento den první menší vlna pokusů o překlady. Útočníci si takto zřejmě testovali rozsah a možnosti útoku před jeho samotným vypuknutím.

Zachycení průběhu útoku na datech Whalebone

Ochrana byla možná přes DNSSEC

Možná obrana proti takovým útokům je nasazení agresivního DNSSEC cachování. Specifikace DNSSEC umožňuje použít NSEC/NSEC3 záznamy pro kryptografické ověření, že konkrétní doména neexistuje (v tomto případě subdoména).

Využitím tohoto přístupu mohou resolvery provádějící DNSSEC validaci odpovědět přímo ze své keše a takto výrazně snížit počet dotazů na autoritativní servery.

Whalebone resolvery s pokročilou bezpečnostní funkcí využívají technologii Knot resolver, která tento přístup od verze 2.0.0 umožňuje a garantuje odolnost proti tomuto druhu útoků. Takto chráníme sítě svých zákazníků před možným penalizováním na autoritativních serverech.

DNSSEC musí být adekvátně nakonfigurován

Bohužel, jak je vidět níže, DNS zóny Amazonu nebyly kryptograficky podepsané a proto nebylo možné využít kryptografické ověření neexistence domény.

Whalebone sice servery Amazonu proti podobnému útoku neochrání, ale při podobném útoku zajišťuje, aby nebyla ovlivněna kvalita internetu poskytovaného zákazníkům.

Analýza nastavení DNSSEC of Amazon’s DNS zones Source: https://dnssec-analyzer.verisignlabs.com/s3amazonaws.com

Nová verze lokálního resolveru Whalebone přináší nové funkce

15 října, 2019 9:49 am Published by Leave your thoughts

Whalebone v20 je připravena pro všechny zákazníky k instalaci. Přináší řadu novinek. Aktualizace je v našem případě bezvýpadková. Můžete ji provést kdykoliv.

Co nová verze přináší?

  • Upgrade jádra Whalebone – Knot Resolveru na verzi 4.2 a s tím související změny (viz release notes Knot Resolveru).
  • Odstranění problémů s chybným proof of non-existence z F5 Big IP load balancerů: Chybná implementace DNSSEC NSEC3 na F5 Big IP load balancerech způsobovala problémy s dostupností u služeb velkých organizací. Společnost F5 vydala opravu, Knot Resolver upravil své chování tak, aby se případná chyba neprojevila. Více v našem webináři nebo na blogu CZ.NIC.
  • Logování metrik resolveru: Metriky poskytují informace o stavu resolveru, ale také o latenci dotazů, takže mohou sloužit ke sledování kvality poskytované služby. Jsou dostupné přímo na resolveru v souboru: /var/log/whalebone/metrics.log nebo skrze Whalebone API. Nemáte API klíč? Napište nám.
  • Ochrana proti zombie procesům resolveru: Pokud by došlo k nedefinovanému stavu, že by jeden z procesů resolveru stále naslouchal na portu 53, ale neodpovídal, Whalebone agent se postará o jeho vynucený restart.
  • Možnost sledování událostí selhání DNSSEC validace skrze API: Pokud chcete vyhodnocovat data o selhání DNSSEC validace na vašich resolverech, můžete k tomu využít naše API, které poskytuje sumární údaje v čase.

Jak provést aktualizaci?

Můžete ji provést kdykoliv. Aktualizace je bezvýpadková.

Postupujte takto:

  1. Před upgradem zkontrolujte „Nastavení DNS překladu“ a pokud ve vašem účtu je použita textová konfigurace obsahující „trust_anchors.negative“, tuto před upgradem odstraňte. Pakliže nebude proveden tento krok, upgrade nebude správně dokončen.
  2. Zobrazte přehled svých resolverů a klikněte pro tlačítko na zahájení aktualizace.
  3. Zobrazí se release notes a možnost spustit aktualizaci. Aktualizaci proveďte.
  4. Vyčkejte cca 30 sekund, než proběhne bezvýpadková aktualizace.
  5. V případě, že by se vám cokoliv nezdálo, můžete se v záložce „Vrácení změn“ vrátit na původní verzi.

Emoce budící DoH a DoT. Co na to Whalebone?

8 října, 2019 9:29 am Published by

DoH a DoT jsou velmi frekventované zkratky. Budí vášeně, zájem i spoustu fám. I my je řešíme. Velmi aktivně a prakticky. I proto jsme členy Encrypted DNS Deployment Iniciative.

Na DNS over HTTPS i DNS over TLS jsme připraveni. Nevidíme v nich žádné ohrožení pro Whalebone ani naše zákazníky. Naopak! V momentě, kdy to bude vhodné, bude Whalebone DoH podporovat a přinese veškeré výhody všem sítím.

Ostatně je to klíčové i kvůli nástrojům, které do budoucna plánujeme pro ISP…

Nejrozvířenější je situace ohledně browserů. Budí největší vášně, ale často utíkají základní fakta (stav k září 2019):

  • Mozilla, která rozvířila vody, je z pohledu našeho geografického a kulturního kontextu (Evropa) velmi opatrná – DoH spustila v Severní Americe, kde se na DNS dějí z našeho pohledu nepěkné věci. ISP standardně a mohutně monetizují data z DNS provozu. To je vlastně ten hlavní tlak, který k rozvíření DoH tématu vedl. Mozilla nicméně z původních velkolepých plánů ustupuje (viz „canary domain“), současně říká, že bude podporovat i další DoH resolvery atd. Nevidíme v tom problém. Naopak jsem rádi, že se toto téma začalo řešit.
  • Chrome, který má největší zastoupení mezi prohlíži, bude preferovat nastavení resolveru v zařízení, pokud bude podporovat DoH – což jádro Whalebone už podporuje. 

DoH ale není jen o prohlížečích, ale i OS. Takže stojí za to ještě podotknout:

  • Apple aktivně pracuje na podpoře na úrovni svých OS, chce zachovat stávající logiku u ISP, korporátů, apod.
  • Microsoft zkoumá možnosti implementace do OS, spolupracuje s výrobci browserů a s velkými ISP na svých plánech. 

Na toto téma jsme krátce mluvili na KKTS v Plzni podívejte se na slajdy či video.

https://youtu.be/rEMw_7jS_d4

Je i vám toto téma blízké? Pak se o něm moc rádi pobavíme konkrétně. Zajímá nás třeba:

  • Provozujte vlastní DNS? A víte, kolik přibližně zákazníků je nevyužívá?
  • Jak DoH plánujete řešit, abyste měli DNS stále ve vlastních rukou a neviváděli data mimo síť?

Odchyťte nás na konferenci, napište na isp@whalebone.io .