Column


Cricket Liu, Chief DNS Architect bij Infoblox:

‘De externe DNS-infrastructuur is niet te verbergen’

Op applicatieniveau vinden de meeste aanvallen op bedrijven vandaag de dag plaats via DNS. Een goed voorbeeld daarvan zijn DDoS-attacks. SecurityVandaag sprak erover met ‘DNS-goeroe’ Cricket Liu, Chief DNS Architect bij Infoblox. Het gesprek leverde geruststellende woorden op. “Er zijn behoorlijk veel manieren om een aanval op de DNS-infrastructuur af te slaan.”

De naam Cricket Liu wordt door velen in één adem genoemd met het Domain Name System, het systeem dat wordt gebruikt om namen van computers naar IP-adressen te ‘vertalen’. Deze verbondenheid met DNS heeft Liu onder andere te danken aan een reeks boeken die hij over dit onderwerp schreef. Het boekwerk ‘DNS and BIND’ uit 1992, dat hij schreef samen met Paul Albitz, wordt nog altijd gezien als de ‘DNS-bijbel’.

Toch had het niet veel gescheeld of Liu was nooit met het ‘postcodesysteem voor het internet’ in aanraking gekomen. “Ik ben eigenlijk bij toeval voor DNS gevallen.” Liu refereert daarbij aan een samenloop van omstandigheden in 1988 als hij een college over DNS bijwoont waar eigenlijk een collega naartoe zou gaan die op dat moment door ziekte was verhinderd. Na dit college zou hij binnen HP verantwoordelijk worden voor DNS en later een eigen bedrijf opzetten op het gebied van DNS-training en -consulting dat uiteindelijk werd gekocht door VeriSign.

Inmiddels is Liu alweer dertien jaar in uiteenlopende rollen werkzaam bij Infoblox, momenteel als ‘Chief DNS Architect’. “Alle functies die ik bij Infoblox heb vervuld en nog steeds vervul, hebben met elkaar gemeen dat ik altijd met klanten en prospects in gesprek ben over de nieuwe trends op het gebied van DNS. Daarnaast ben ik de verbinding tussen Infoblox en de DNS-community en heb ik contact met instanties zoals het Internet Systems Consortium en NLnet Labs.”

Blijven ontwikkelen
“Als je een standaard namingservice op het internet wilt gebruiken, dan is er DNS, of niets”, zo benadrukt Liu de onontkoombaarheid van DNS. Zonder DNS is er geen communicatie tussen computers mogelijk en kan bijvoorbeeld een e-mailbericht niet van de ene naar de andere computer worden verstuurd. Ook het opzoeken van een website lukt niet zonder DNS. “Het is toch best wel verwonderlijk dat DNS ruim dertig jaar na de introductie nog altijd de ‘domain name service’ is die we gebruiken. Het onderliggende protocol is sinds dat Paul Mockapetris er in de jaren ’80 mee kwam in grote lijnen hetzelfde gebleven. Dat is het ultieme compliment voor het ontwerp, de resilience en de stabiliteit van het protocol.”

“Natuurlijk moet DNS zich altijd verder blijven ontwikkelen, net zoals ieder ander internetprotocol”, zo onderkent Liu. En natuurlijk zijn er kwetsbaarheden, zoals de bug die in 2008 werd blootgelegd door beveiligingsonderzoeker Dan Kaminsky. Dit lek in DNS maakte het voor kwaadwillenden mogelijk om mailberichten af te vangen en om internetgebruikers naar nepsites te sturen. Vorig jaar werd nog misbruik gemaakt van een lek in de BIND 9-implementatie van DNS waarmee het mogelijk was om DNS-servers te laten crashen. “Als DNS-community zijn we er echter altijd in geslaagd om mogelijke kwetsbaarheden op te lossen.”

DNS-aanvallen
Over de veiligheid van het protocol zelf ligt Liu dus niet wakker. Wat hem wel zorgen baart, is het toenemende aantal aanvallen gericht op de DNS-infrastructuur. Deze interesse van cybercriminelen voor DNS is volgens de Chief DNS Architect eenvoudig te verklaren; de impact van een aanval op de DNS-infrastructuur is immers groot.

“Als je de externe DNS-infrastructuur van een bedrijf aanvalt, dan ‘mep’ je dat bedrijf als het ware van het internet af”, zo legt Liu uit. “Klanten kunnen dan de website niet meer bezoeken en ook geen e-mail meer naar je sturen. Daar komt bij dat je de externe DNS-infrastructuur eigenlijk niet kunt verbergen; het is een ‘public resource’ die eenvoudig te vinden moet zijn.”

Tegenmaatregelen
“In de beginjaren van DNS waren er eigenlijk helemaal geen tools voorhanden om een DNS-infrastructuur te beschermen”, zo memoreert Liu. “Inmiddels zijn er echter behoorlijk veel manieren om een aanval op de DNS-infrastructuur af te slaan.” Zo biedt DNS zelf steeds meer mechanismen tegen aanvallen. Als voorbeeld haalt Liu ‘Response Rate Limiting’ aan dat het voor de ‘bad guys’ moeilijker maakt om een nameserver in te zetten als een reflector of amplifier om op die manier een DDoS-aanval te versterken.

Ook zijn er steeds meer security-oplossingen op de markt die de interne en de ‘internet-facing’ nameservers kunnen beschermen. “Infoblox heeft de afgelopen jaren krachtige DNS-appliances geïntroduceerd die het inkomende verkeer aan een inspectie kunnen onderwerpen en kunnen controleren aan de hand van een set regels.”

Een volgende stap volgens Liu is om de DNS-data die door de appliances van Infoblox worden verzameld aan een analyse te onderwerpen en te correleren met securitydata. Door de queries en responses die door een computer in het netwerk worden verstuurd en ontvangen te analyseren, kan volgens Liu bijvoorbeeld worden vastgesteld of een computer is geïnfecteerd. “Als een computer vaak contact opneemt met een Command & Control-server is dat een sterke indicatie. Ook kun je op basis van de DNS-data achterhalen hoe een virus zich binnen het netwerk verspreidt.”

Basisstappen
Naast deze technische maatregelen zijn er volgens Liu nog verschillende eenvoudige maatregelen te treffen om de DNS-infrastructuur te beschermen. “Er is heel veel wat je kunt doen, bijvoorbeeld via de configuratie van een nameserver.” Zo kan via de Access Control Lists het aantal mensen dat toegang heeft tot een nameserver worden beperkt. “De Secure DNS Deployment Guide van het Amerikaanse National Institute of Standards and Technology biedt al aardig wat tips om de DNS-infrastructuur te beschermen tegen aanvallen”, zo besluit Liu.


Lees meer over