08 ноября 2017

DNSSEC в сервисе Google Cloud DNS


Облачный сервис Google Cloud DNS стал поддерживать протокол DNSSEC.

Перехват и подмена ответов DNS является распространённым типом атаки в Интернет, позволяющей атакующему полностью перенаправить трафик пользователей с атакуемого сервера на свой собственный, где путём имитации интерфейса оригинала, можно узнать логины и пароли пользователей, либо установить им вредоносное ПО, пользуясь их доверием к сайту оригинала, например известного банка или новостного сайта.

Для защиты от перехвата DNS ответов давно придуман защищённый протокол DNSSEC, который требует подтверждения аутентичности ответа DNS сервера для клиента. Однако, до недавнего времени, протокол DNSSEC был внедрён только на серверах имён крупных регистраторов доменов и практически не используется большинством серверов имён DNS, которые поддерживают обычные организации и частные лица.


Похожая печальная картина сохранялась и для облачных сервисов имён. Однако, теперь Google, первым из крупных игроков облачного рынка, в рамках своего сервиса Cloud DNS стал поддерживать протокол DNSSEC.

Что это даёт обычной организации?

Если вы работаете не в крупной компании регистраторе доменов, и всё ещё используете внутренний сервис DNS на базе ОС Windows, то публикация на нём записей DNS для пользователей вне локальной сети кране небезопасна, по причинам, описанным выше. 

Вместе с тем, тактика раздельных DNS серверов, где за внешние ссылки отвечает внешний сервер имён (например от провайдера, поддерживающего DNSSEC), а за внутренние ссылки отвечает внутренний сервер имён (например на Windows) не работает для компаний с тысячами доменных имён (если такие компании хотят управлять своими доменными зонами централизованно), а также для мобильных клиентов, которые перемещаются, как внутри, так и снаружи сети, без использования VPN (если такие клиенты должны обновлять в DNS свой IP адрес, например для входящих звонков). 

Однако теперь, вы можете использовать сервис Google Cloud DNS, для публикации и быстрого обновления внешних DNS записей автоматически, не требуя главного администратора обновлять записи каждый раз вручную, когда вы меняете своё местоположение относительно локальной сети организации. При этом, подменить ответы службы Google Cloud DNS атакующий не сможет, а соответственно не сможет и украсть ваш логин и пароль к корпоративному домену с помощью такой подмены, либо просто увести трафик с множества ваших доменов на свой сайт.

Комментариев нет: