Za poslední roky jsme absolvovali mnoho diskuzí s poskytovateli internetu o architektuře sítí a možnostech integrace lokálního DNS do infrastruktury ISP. Nejčastěji diskutovaným tématem bylo, zda nadále zachovat na jednom stroji současně autoritativní DNS servery a DNS překladače.Jsme si vědomi přínosů v oblasti úspory hardware, ale vždy se snažíme představit negativa, která tento přístup přináší. V tomto článku je chceme shrnout a podrobně představit, proč autoritativní a rekurzivní funkce na jednom stroji nemusí být nejvhodnější přístup.Úvodem si ještě připomeňme rozdíly autoritativního serveru DNS a rekurzivního resolveru:
Autoritativní server DNS:
- Vždy musí být dostupný pro kohokoli z celého světa.
- Měl by odpovídat pouze na nerekurzivní dotazy.
- Zodpovídá za uložené záznamy a ty „autoritativně“ poskytuje.
- Jde o kritickou službu pro DNS zóny spravované po celém světě – pokud nefunguje, uživatelé z celého světa se nemusí dostat např. na příslušnou doménu, za kterou autoritativní server odpovídá.
Rekurzivní resolver (cachovací DNS):
- Přístupný pouze místním uživatelům.
- Reaguje na rekurzivní dotazy.
- Měl by být schopný provést DNSSEC validaci a schopný updagradu např. na DNS over HTTPS nebo DNS over TLS.
- Jde o kritickou služba pro všechny místní uživatele – pokud nefunguje, nefunguje uživatelům internet, který jim ISP poskytuje.
Už ze samotného výčtu zásadně rozdílných funkcí lze vytušit ty hlavní důvody, proč by měly být odděleny. A jaké tedy jsou?
4 důvody k oddělení autoritativních a rekurzivních serverů DNS
Existují 4 hlavní důvody, proč by rekurzivní a autoritativní servery DNS měly být provozovány odděleně. Jde o bezpečnost vaší sítě, její výkon, možnosti monitoringu a dodržení RFC respektive doporučené praxe. Každá oblast může mít při nedodržení nečekané následky, které mohou přejít i do roviny právních sporů o kompenzace.Nyní se na ně podívejme podrobněji:
1. důvod: Bezpečnost
Bezpečnostní aspekt oddělení DNS překladačů a autoritativních serverů má více úrovní. Dále proto bezpečnost řešení a architektury sítě nahlížíme dle možného dopadu každé hrozby následovně:
a. DoS útok a dostupnost
Fungování internetu vyžaduje vysoce dostupné autoritativní i rekurzivní servery. Ty jsou ale také častým cílem útočníků.
V případě, že jsou autoritativní servery a DNS resolvery provozovány společně, úspěšný útok DoS směřovaný na autoritativní server, otevřený pro celý svět, také znefunkční internet pro ty, kdo stejný stroj využívají k DNS překladům. Stejně tak je možný i opačný scénář, i neúmyslný úspěšný DoS na DNS překladač odstaví i autoritativní server a ještě problémy zvýší.
Oddělením se výrazně sníží dopad možného DoS útoku a omezí se potenciální poškození sítě, její reputace, ale i zredukují možné starosti při řešení následků.
b. Předstírání cizí identity
Služba DNS je (zejména u pokročilých zákazníků) výrazně spojena s důvěrou, kterou uživatelé mají v síť i poskytované služby.
Napadení a úspěšné zneužití autoritativního serveru může mít za následek „unesení“ a ovládnutí dotčené domény, díky čemuž může útočník zneužít legitimní služby. Navíc pokud mají útočníci kontrolu nad zónami, lze jednoduše obejít i DNSSEC validaci zajišťující ochranu a integritu domén.
I zde, pokud by byl stroj využíván pro autoritativní funkce i resolving současně, by byly následky útoku podstatně vyšší.
Útočníci by díky tomu mohli přesměrovat nejen postiženou doménu, ale i služby třetích stran, jako jsou vyhledávače, banky, sociální sítě. Následky mohou být nedozírné: krádeže osobních údajů, odcizení finančních prostředků nebo zveřejnění citlivých informací o uživateli.
c. Zesílení útoků odrazem pomocí DNS
Nejběžnějším a nejznámějším útokem s využitím otevřených nezabezpečených resolverů je útok odrazem ("reflection attack"). Ten spočívá ve zneužití resolveru, který je otevřen do celého světa. Útočníci využívají otevřené resolvery k odesílání řady dotazů se zfalšovanou zdrojovou IP adresou, kdy je podvržena jako zdrojová adresa adresa cíle útoku. V důsledku toho DNS servery reagují na podvrženou adresu, tu zahlcují a nakonec ji zcela znepřístupní.
Snadnost provedení tohoto útoku multiplikována díky bandwith (malý požadavek přináší velkou odezvu), činí tento druh útok extrémně atraktivním. Spojení autoritativních a rekurzivních funkcí na jednom stroji znesnadňuje ochranu proti tomuto útoku. Ta je možná, ale vyžaduje náročnou konfiguraci custom view a softwarově definovaných ACL.
Při oddělení autoritativní a rekurzivních strojů je ochrana naopak velmi jednoduchá. Resolver buď vůbec nevystavíte veřejně do internetu, nebo ho na úrovni ACL zpřístupníte pouze vašim uživatelům.
d. Útoky na soukromí uživatelů a soukromí v síti
DNS překladače, které odpovídají na nerekurzivní dotazy, ohrožují soukromí a data uživatelů. Nerekurzivní dotazy mohou být zneužity k proniknutí do obsahu DNS cache. Takto se útočník může pokusit získat domény navštívené koncovým uživatelem. Útočník, který může získat odpovědi na nerekurzivní dotazy, je v podstatě schopen vidět obsah cache než vyexpirují TTL a získané informace zneužít.
Podstatou tohoto útoku je využití základního principu činnosti autoritativních serverů: odpovědět na rekurzivní DNS dotazy poptávající autoritativní odpovědi. Pokud je totiž autoritativní server i rekurzivním resolverem, lze citlivé informace uživatele odhalit prostým výčtem domén v cache.
2. důvod: Výkon
Výkon serverů DNS má přímý dopad na dojem koncového uživatele o kvalitě poskytovaného připojení. I několik milisekund latence může mít obrovský rozdíl ve vnímané rychlosti a kvalitě poskytovaného internetu.Infrastruktura sloužící velkému počtu klientů bude mít značné nároky na zdroje. HW prostředky samozřejmě lze připravit na očekávanou zátěž, ale v případě náhlého nárůstu provozu buď autoritativních, nebo rekurzivních služeb, dostupné prostředky nemusí dostačovat. Takto autoritativní a rekurzivní funkce mohou opět negativně ovlivňovat.Vhodným řešením je strategie „divide and conquer“ („odděl a ovládni“). Oddělením těchto dvou funkcí lze totiž dosáhnout mnohem efektivnějšího využití dostupných zdrojů, tím pádem vyšší výkon, škálovatelnost i odolnost.
3. důvod: Monitoring a stabilita
DNS servery, ať už autoritativní nebo rekurzivní, zajišťují stále složitější funkce a zjednodušeně řečeno jen díky nim funguje celý internet. Jsou bez veškerých pochyb součástí kritické infrastruktury od nejmenších ISP až po globální sítě.Pro eliminaci možných rizik je proto důležité zajistit kvalitní monitoring a včasné odhalení výpadů nebo problémů provozovaných služeb.Každý typ DNS serveru má své vlastní jedinečné požadavky a komplexnost, kterou je třeba pochopit a adekvátně v monitoringu nakonfigurovat. Oddělením autoritativních i rekurzivních služeb se stává monitorování a shromažďování statistik přímočařejší a mnohem více vypovídající.Pokud provozní statistiky reflektují kontext pouze jednoho druhu služby, umožňují odhalit mnohem menší anomálie. Ty bývají předzvěstí větších problémů a řešení jejich následků. Vzhledem k tomu, že neexistují žádné překrývající se součásti, je následná identifikace a řešení problémů jednodušší.
4. důvod: Doporučená praxe
Na závěr je třeba poznamenat, že tímto článken rozhodně znovu nevymýšlíme kolo. Preference oddělení autoritativních a rekurzivních serverů je zakotvena již roky v doporučeních nejlepší praxe i tzv. RFC.Například v RFC2010 je uvedeno následující:
„Rekurzivní služby DNS by měl obstarávat jiný stroj než její root name servery.“"An organization's recursive DNS needs should be served by some other host than its root name server(s)."
Oddělení ostatně doporučují i ostatní poskytovatelé DNS. Dokonce BIND, který je nejčastěji využíván k současnému provozu obou služeb na jednom stroji, uvádí ve své dokumentaci pro rekursivní a autoritativní server:
„Nekombinujte autoritativní a rekurzivní funkce jmenného serveru - nechte každou funkci provádět samostatné sady serverů […] V ideálním případě by vaše autoritativní servery orientované na internet neměly provádět vůbec žádnou rekurzi pro žádné klienty.“
Závěrem: Oddělte rekurzi a provozujte kvalitní DNS resolver
Při rozhodování o architektuře a nastavování kritické služby, jakou je DNS, je třeba vzít v úvahu všechny výše uvedené 4 důvody: dostupnost, výkon, monitoring i zabezpečení.Se všemi čtyřmi oblastmi velmi pomůže volba kvalitního DNS.Pokud zvažujete změny v DNS infrastruktuře, moc rádi vám představíme, jak tyto čtyři oblasti Whalebone DNS zkvalitňuje. Stačí se přihlásit na náš webinář nebo rovnou požádat o testovací verzi. Minimální požadavky jsou nízké: 2 CPU jádra, 4 GB RAM, 40 GB HDD. S touto konfigurací obsloužíte cca 10 000 přípojek. Instalace spočívá v překopírování a spuštění jednorázového instalačního příkazu v terminálu vlastního systému Linux VPS a nechá vás nahlédnout do toho, co se děje ve vašem DNS provozu.
