Onlangs publiceerde The Measurement Factory de resultaten van hun jaarlijks onderzoek naar het belang en de kwetsbaarheid van Domain Name Server (DNS) diensten. De resultaten van dit onderzoek worden wereldwijd op de voet gevolgd aangezien DNS vaak wordt aanzien als de achillespees van data- en telecommunicatie netwerken. Hierbij een samenvatting en conclusie van de voornaamste trends.
Belang van DNS en het besef dat deze up to date moeten zijn groeit:
Het onderzoek geeft aan dat het aantal DNS servers wereldwijd op 11,7 miljoen kan geschat worden. Dit is een stijging van meer dan 2 miljoen ten opzicht van het voorafgaande jaar. Van de DNS systemen die zichtbaar zijn op het Internet, zijn ongeveer 70% ingericht met de BIND open source software. Een groeiend aantal van deze BIND DNS servers gebruikt de recentere BIND 9 versie (van 60,7% naar 64,5%). Er is ook een duidelijke vermindering vast te stellen van het aantal, zeer kwetsbare, BIND 8 en BIND 4 DNS servers (BIND 8 van 13.7% naar 5.6%, BIND 4 van 0.4% naar 0.2%).
BIND 9 heeft een veiligere reputatie dan de oudere versies van BIND. De 'end of life' aankondiging van BIND 8 door ISC is waarschijnlijk te recent om verantwoordelijk te zijn voor deze versnelde uitfasering. Volgens de studie is de voornaamste reden het groeiend besef dat een succesvolle aanval op de DNS infrastructuur het hele netwerk onbeschikbaar en onbetrouwbaar maakt. Een trend die deze analyse onderstreept is de bijna-halvering van het aantal Microsoft DNS systemen. DNS adminstrators hebben blijkbaar vastgesteld dat beveiliging van de DNS server niet het grootste aandachtspunt is van Microsoft. Het gebrek aan enkele belangrijke beveiligings hendels in de Microsoft DNS server zoals access controle op queries, standaard TSIG updates en default cache poisening bescherming is hier waarschijnlijk niet vreemd aan.
Redundantie en uitwijk voor DNS diensten wordt belangrijker:
Een andere trend is dat DNS systemen vaker worden verdeeld over verschillende rekencentra en locaties. Minder dan 25% van de DNS zones (een DNS zone is ongeveer hetzelfde als een DNS domein) plaatst hun DNS servers op eenzelfde netwerk.
Dit duidt aan dat organisaties, waarschijnlijk gemotiveerd door hun domein registrar, meer aandacht besteden aan de beschikbaarheid en de redundantie van hun DNS dienst. Inderdaad, zonder DNS zijn al de telecommunicatie middelen zoals web, email, messaging, e-commerce en IPtel simpelweg onbeschikbaar.
Cruciale beveiligingsrisico’s:
Ondanks de groeiende aandacht voor een degelijke DNS infrastructuur, stelt het onderzoek toch nog een aantal verontrustende beveiligings risico’s vast. Een frapant voorbeeld is dat meer dan 50% van de DNS servers, blootgesteld aan het Internet, recursieve queries toestaan. Het akelige is dat dit aantal niet afneemt in vergelijking met de studie van 2006. Het blind aanvaarden van recursive queries maakt de DNS server kwetsbaar voor DNS cache/poisening (e.g. DNS pharming) en DNS amplification attacks (DDOS aanval) die hele netwerken snel en eenvoudig kunnen verstoren.
In dit kader werd ook vastgesteld dat nog steeds ongeveer 30% van al de DNS servers willekeurig DNS zone transfers toelaat. Alweer een beveiligingsrisico dat niet licht mag worden opgevat. Er is dus nog steeds werk aan de winkel om DNS wereldwijd sterker en stabieler te maken.
De studie wijst ook uit dat het belang van het correct configureren van de DNS systemen vaak wordt onderschat. Een voorbeeld is dat in veel gevallen de DNS zone expire timers te laag staan (75.6%), met zelfs maar 9.6% die de aanbevolen setting van 2 tot 4 weken volgen . Bij het onderzoeken van de best-practice configuraties bleek ook dat slechts 22% een negative-caching TTL in de aanbevolen range van 1 tot 3 uur instelt. Dit duidt aan dat er te weinig kennis of tijd aanwezig is om de DNS systemen op een robuuste en veilige manier in te stellen. De gevolgen van een slechte instelling kunnen rampzalig zijn. Zo zal een te lage zone expiration value verstoringen veroorzaken indien er uitdagingen of configuratie problemen zijn met de primary DNS server. Negative caching TTLs die te groot zijn zullen dan weer problemen veroorzaken als er snel wijzigingen in het netwerk nodig zijn zoals toevoegen van nieuwe hosts of servers.
Gebruik van DNS voor verdere beveiliging van het netwerk:
Een andere belangrijke trend is het toenemende gebruik van DNS ten voordele van Email authenticatie. Het gebruik van DNS SPF (Sender Policy Framework) is meer als verdubbeld op 1 jaar tijd (van 5% naar 12,6%). Hoe meer DNS systemen gebruik maken van SPF, hoe groter de waarde ervan. Je kan namelijk via SPF de origine van email nagaan. Dus, hoe meer verspreid het gebruik van SPF, des te meer email kan geverifieerd worden. Het gebruik en de adoptie van ander DNS beveilgings aspecten zoals DNSSEC blijven dan weer aan de lage kant. Het aantal DNSSEC gehandtekende zones steeg van 16 naar 44 (waarvan 8 gehandtekend in lijn met de recente DNSSECbis specificaties). Dit is een positieve trend voor DNSSEC, hoewel dit wereldwijd nog steeds neerkomt op een minuscule adoptie-rate van minder dan 1%. Waarschijnlijk breekt DNSSEC niet door omwille van tijd- en kennis gebrek rond dit onderwerp, of omdat het ontbreekt aan eenvoudige beheer tools om het efficiënt uit te rollen.
Conclusie:
Over het algemeen vertoond het onderzoek wisselende resultaten wat betreft het belang en de kwetsbaarheid van DNS diensten. In het algemeen blijft het aantal DNS systemen en de toepassingsgebieden (bvb. email authenticatie via DNS) stelselmatig groeien. In deze groei is de uitfaserings-trend van oudere BIND servers en Microsoft DNS servers positief. Daarnaast stelt de studie ook vast dat een groeiend aantal DNS systemen op een redundante manier worden ingezet wat de verzekering van de DNS dienst ten goede komt. Uit dit alles blijkt dat het besef toeneemt dat core netwerk diensten, zoals DNS, cruciaal zijn voor de goede werking van alle IP gebaseerde applicaties (web, email, messaging, Iptel, e-commerce, etc.).
Ondanks dit groeiende besef, blijkt toch nog vaak dat de huidige DNS systemen nog steeds belangrijke kwetsbaarheden vertonen die rampzalige gevolgen kunnen hebben voor het hele netwerk (bvb cache poisening, pharming aanval, DNS amplification aanval, DDOS, etc.). Deze kwetsbaarheden zijn vaak het gevolg van onvoldoende tijd en kennis wat betreft best-practice DNS ontwerp, inzet en configuratie.
Indien data netwerken en IP applicaties hun groei onverstoord willen verder zetten, dringt zich een her-evaluatie van de core netwerk diensten, zoals DNS, op. Aangezien netwerk diensten zoals DNS, maar ook DHCP en IP address beheer, de spil zijn tussen het netwerk en de applicaties, is de huidige trend om deze diensten te migreren van traditionele software naar nieuwere gespecialiseerde apparatuur (core network service appliances) onder centraal beheer geen verrassing.
Een whitepaper rond DNS best-practice ontwerp en configuratie is te vinden op:
http://forms.infoblox.com/go/infoblox/dnsbestpractices
De volledige studie van the Measurement Factory is na te lezen op:
