Проект компаний
 
 
 
 
RU|Использование DNSSEC

Внедрение DNSSEC в домене RU - текущее состояние

Дата публикации: 21/05/2013

Департаментом информационно-аналитических исследований RU-CENTER проведено исследование практического использования DNSSEC в российском национальном домене RU.

Введение

В декабре 2012 года для зоны .RU была добавлена поддержка группы технологий обеспечения безопасности доменной системы имён — DNSSEC. Данное расширение DNS позволяет криптографически удостоверять адресную информацию, которая распространяется при помощи доменной системы имён. Для удостоверения используется иерархия электронных подписей, корень которой, в стандартном случае, совпадает с корнем DNS — то есть, располагается в корневой доменной зоне.

Путём удостоверения одних криптографических ключей другими, выстраивается цепочка доверия, ведущая от проверяемого резолвером имени к главному доверенному ключу, которым обычно является ключ корневой зоны. Этот последний ключ изначально распространяется по клиентским резолверам без использования DNS. Поддержка DNSSEC требует изменений как на стороне серверов имён, так и на стороне рекурсивных резолверов. Кроме того, публикация криптографической информации требует участия регистраторов доменов.

В зоне .RU работу с DNSSEC поддерживает несколько регистраторов: RU-CENTER, R01, WEBNAMES.RU (REGTIME) и др.

Предмет исследования и методика

Основной целью исследования являлось определение количества доменных зон второго уровня, полностью поддерживающих DNSSEC в варианте, доступном для проверки сторонними резолверами. Отметим, что существуют варианты внедрения DNSSEC для заданной доменной зоны, которые не используют общепризнанного глобального корня DNS для построения цепочки доверия. Зоны, устроенные подобным образом, представляют собой обособленные в смысле DNSSEC сегменты доменной системы имён, однако проверка достоверности данных из этих зон доступна только тем резолверам, которые доверяют обособленным ключам. Мы не исследовали подобные зоны, так как они представляют собой решение ограниченного использования.

Требование доступности проверки достоверности для всех сторонних резолверов подразумевает, что в зоне .RU для проверяемого домена корректно размещена DS-запись (или несколько таких записей). Таким образом, методика исследования включает в себя построение выборки доменов, для которых обнаружены DS-записи в зоне .RU, с последующим опросом авторитативных серверов этих доменов и проверкой валидности полученных криптографических подписей.

Результаты

Во время проведения исследования (16-20.05.2013) в зоне .RU было делегировано более 4.1 млн доменов.

Удалось обнаружить 82 домена, для которых в зоне размещены DS-записи. Это число составляет лишь около 0.002% от общего числа делегированных доменов. Нужно отметить, что само по себе размещение DS-записи в зоне верхнего уровня не гарантирует, что домен безопасен. Такое размещение лишь сообщает резолверу, что зона должна быть безопасной и содержать криптографическую информацию, удостоверяющую данные об адресации. Так, в случае, если в зоне верхнего уровня отсутствует DS-запись для той или иной делегированной зоны, и такое отсутствие подтверждено электронной подписью, то делегированная зона трактуется резолвером как зона, не содержащая расширений DNSSEC. Такие зоны обрабатываются «классическим» способом.

Задача, решаемая DNSSEC, состоит в защите пользователей от подмены адресов. Такая подмена должна проявиться в нарушении валидности подписей и в разрушении цепочки доверия. Поэтому, в случае, если DS-запись размещена, но при этом авторитативные серверы делегированной зоны не поддерживают DNSSEC или в записях, относящихся к этой технологии, содержатся ошибки и дефекты, такая зона рассматривается как содержащая недостоверную информацию, и валидирующий резолвер не должен передавать своему клиенту данные, полученные из зоны. Это означает, что преобразование имён и адресов для такой зоны недоступно для клиента. Или, проще говоря, пользователь не сможет зайти на сайт, размещённый под дефектным доменом, так как данные могли быть изменены злоумышленником.

Доменов, корректно поддерживающих DNSSEC, оказалось гораздо меньше, чем тех, для которых в зоне .RU размещены DS-записи. Безопасных, с точки зрения внешнего валидирующего резолвера, зон обнаружено лишь 54. Это означает, что только 54 домена из проверенных нами потенциально безопасных зон действительно доступны для безопасной работы клиентов. Ниже рассмотрены основные причины, по которым 28 доменов оказались невалидными.

Как указано выше, на практике, ошибка валидации DNSSEC означает, что резолвер или авторитативные серверы могли стать целью атаки злоумышленников, подменивших данные в ответе DNS. Обнаружение такой подмены и является основной целью внедрения DNSSEC. С другой стороны, вероятность действующей во время проведения исследования атаки на все вышеупомянутые 28 дефектных доменов — крайне мала. Более того, наблюдение за соответствующими авторитативными серверами показало, что эта вероятность близка к нулевой, а проблемы валидации обусловлены неверной настройкой зон их администраторами. Следует обратить внимание на то, что неверная настройка может быть преднамеренной и осознанной: неверно настроенные зоны с поддержкой DNSSEC требуются для тестирования. Однако тот факт, что многие из «сломанных» зон используются для адресации вполне рабочих веб-сайтов, позволяет предположить, что «поломки» всё же являются непреднамеренными и возникли в результате ошибки администраторов зон.

Из 28 недостоверных зон 17 имеют просроченные (устаревшие) записи RRSIG (это записи, содержащие значение электронной подписи), в некоторых случаях записи просрочены на два и более месяцев. Это свидетельствует о том, что администраторами зон не был выстроен процесс своевременного обновления криптографических подписей.

Для 10 недостоверных зон авторитативные серверы, указанные для них в зоне .RU, не поддерживают DNSSEC и не возвращают соответствующих ресурсных записей. При этом для указанных доменов в зоне .RU размещены DS-записи, что также означает недоступность адресуемых ресурсов для навигации клиентов, использующих валидирующие резолверы. Четыре из этих десяти доменов адресуют полноценные веб-сайты разного типа, а один из четырёх доменов служит адресом сайта, рассказывающего о семинаре по веб-разработке. Ни один из сайтов недоступен для пользователей валидирующих резолверов. Простое логическое рассуждение показывает, что даже те администраторы, которые попытались развернуть DNSSEC в своём домене, не обязательно сами используют валидирующий резолвер.

Только один домен из 28 недостоверных не работает потому, что для него указаны несуществующие серверы имён.

Итоги

С момента введения поддержки DNSSEC в домене RU прошло не так много времени - пять месяцев. Это некоторым образом объясняет тот факт, что число доменов .RU, поддерживающих новую технологию, пока близко к нулю, а кроме того - практически не растёт. На стороне клиента распространённость технологии также оставляет желать лучшего: валидирующих резолверов крайне мало, по этой причине домены, переставшие быть безопасными вследствие ошибок, всё равно доступны для пользовательской навигации.

Для роста проникновения технологии DNSSEC всё ещё требуется её популяризация, которая должна сопровождаться объяснением причин, по которым внедрение данной технологии является необходимым. Например, среди учреждений, для которых защита доменной зоны имеет первоочередное значение — банки и платёжные системы. В зоне .RU лидером оказался используемый платёжной системой PayPal домен paypal.ru, который уже поддерживает DNSSEC.

Другим фактором, способствующим развитию DNSSEC, может являться внедрение сопутствующих технологий. Одной из них является DANE (DNS-based Authentication of Named Entities) — инструмент, позволяющий привязать SSL-сертификаты к безопасной DNS.

Таблица 1. Результаты исследования состояния DNSSEC в зоне .RU

ПоказательЧисло доменов
Домены, для которых указаны DS-записи в .RU (всего)82
Из них:
Корректно подписанные безопасные зоны (всего)54
«Сломанные» зоны (всего)28
Из них:
Ранее подписанные зоны, имеющие устаревшие записи RRSIG17
Отсутствует поддержка DNSSEC авторитаивным серверами (при наличии DS-записи)10
Несуществующие авторитативные серверы1