DNS blacklist chrání proti dopadům otravy DNS

Architektura společnosti Nominum s názvem TRUE, která má zajistit ochranu před dopady otravy vyrovnávací paměti DNS, bude nově k dispozici i klientům z řad podnikových zákazníků. Proti často diskutované technologii DNSSEC má tu výhodu, že ji lze plně využít již nyní.


O nebezpečí otravy vyrovnávací paměti DNS (DNS cache poisoning) se poprvé výrazněji diskutovalo v loňském roce, kdy Dan Kaminsky upozornil na způsob, kterým lze podvrhnout falešné záznamy naprosté většině DNS serverů na internetu. Nic netušící uživatel tak může být nasměrován na falešné webové stránky jakéhokoli subjektu (například banky), útočník si na sebe může přesměrovat cizí poštu (včetně zasílaných „zapomenutých" hesel) a podobně.

Bezprostředním lékem na tento problém se stalo záplatování DNS serverů; v dlouhodobějším horizontu se jako o řešení hovoří o technologii DNSSEC, tedy DNS, kde je korektní vztah doménového jména a IP adresy zajištěn šifrováním. Využívání DNSSEC ovšem zatím vázne; předpokládá se, že masivního rozšíření se nedočká dříve než v průběhu dvou až tří let (například zástupci společnosti VeriSign oznámili, že nasadí DNSSEC pro domény nejvyšší úrovně .com a .net v roce 2011) .

Výše zmíněná architektura TRUE (Trusted Response and Universal Enforcement) se snaží problém otravy vyrovnávací paměti DNS řešit prostřednictvím techniky, která se podobá antispamovým blacklistům. Nabízí totiž automatizovanou kontrolu výsledků DNS dotazů proti seznamu webových stránek, o nichž je známo, že obsahují škodlivý obsah. Její efektivita tedy záleží na kvalitě a aktuálnosti této databáze.

„Při použití klasického přístupu uživatel klikne na odkaz, prohlížeč vyšle dotaz na DNS server, ten z autoritativního zdroje zjistí odpověď a tu předá uživateli. DNS server přitom neví, zda je cíl škodlivý. Náš systém tuto informaci má - a s její pomocí tak můžete chránit své uživatele," vysvětluje Bruce Van Nice, marketingový ředitel firmy Nominum.

Až dosud byla architektura TRUE k dispozici pouze velkým poskytovatelům telekomunikačních služeb (zákazníky společnosti Nominum jsou například firmy Verizon, Sprint nebo NTT Communications), nyní má být dostupná i v softwaru určeném běžným podnikovým zákazníkům. Těm má umožnit ochranu jejich zaměstnanců před návštěvou phishingových webů nebo webů obsahujících škodlivé kódy. Pokud se na závadný web pokusí přejít, je jim zobrazena varovná stránka. V kontrolní databázi je prý na 160 milionů nebezpečných webů.

„U poskytovatelů služeb vidíme jasný trend nasazování inteligentních řešení DNS," vysvětluje Van Nice. „Neexistuje žádný důvod, proč by podnikoví zákazníci nakonec neměli udělat to samé," dodává. Nabízené řešení přitom podle něj doplňuje DNSSEC, protože ošetřuje i další hrozby DNS, nikoli jen cache poisoning.











Komentáře