Bezpieczeństwo i hardening DNS — BIND, DNSdist i odporność na DDoS wolumetryczny
ITORO utwardza i chroni autorytatywny oraz rekurencyjny DNS dzięki podejściu warstwowemu: utwardzone zgodnie z NIST resolwery BIND, front-end bezpieczeństwa DNSdist oraz mitygacja wolumetryczna WanGuard. Ataki DDoS na DNS obejmują dwie zupełnie różne warstwy — wolumetryczną i aplikacyjną — a każda z nich wymaga właściwego narzędzia. Jasno mówimy, co i gdzie jest filtrowane, zamiast obiecywać jedno urządzenie zatrzymujące wszystko.
Trzy warstwy odporności DNS na DDoS
- Wolumetryczna (L3/L4) — powodzie amplifikacyjne i refleksyjne na UDP/53 są odrzucane przez WanGuard za pomocą BGP FlowSpec i RTBH, zanim wysycą Twoje łącza dosyłowe.
- Warstwa aplikacyjna (L7) — powodzie NXDOMAIN, losowych subdomen (water-torture) oraz zapytań wyglądają jak prawidłowy ruch DNS, więc BGP FlowSpec nie potrafi ich dopasować. Są one zatrzymywane w DNSdist dzięki limitowaniu tempa odpowiedzi per klient oraz dynamicznemu blokowaniu.
- Utwardzenie resolwera — sam serwer DNS jest zabezpieczony zgodnie z NIST SP 800-81r3, aby pozostawał szybki i poprawny pod obciążeniem.
Utwardzenie BIND (NIST SP 800-81r3)
Wdrażamy lub audytujemy Twoje resolwery BIND9 zgodnie z aktualnymi najlepszymi praktykami:
- Walidacja DNSSEC w celu odrzucania sfałszowanych i zmanipulowanych odpowiedzi.
- Zawężone listy ACL —
allow-recursionoraz listy zaufanych sieci ograniczone do Twoich własnych prefiksów, co zamyka możliwość nadużyć otwartego resolwera. - Bufor EDNS 1232 (DNS Flag Day 2020) w celu wyeliminowania powierzchni ataku opartej na fragmentacji IP.
- Minimalizacja QNAME oraz DNS cookies przeciw spoofingowi off-path i wyciekom prywatności.
- Ukrywanie wersji i konfiguracja usługi zgodna z zasadą najmniejszych uprawnień.
- Ustrukturyzowane logowanie z retencją od 90 dni do 12 miesięcy na potrzeby DFIR i dowodów zgodności z NIS2.
- Architektura ukrytego serwera nadrzędnego / wyłącznie upstream, dzięki której warstwa rekurencji nigdy nie jest bezpośrednio wystawiona.
Front-end bezpieczeństwa DNSdist
Przed BIND uruchamiamy DNSdist jako warstwę polityki skierowaną do klienta — poziom, który faktycznie zatrzymuje powodzie DNS w warstwie aplikacyjnej:
- Limitowanie tempa per klient i per sieć w celu absorpcji powodzi zapytań NXDOMAIN i water-torture.
- Dynamiczne blokowanie, które reaguje na nadużywające źródła w czasie rzeczywistym.
- Zapora DNS (DNS firewall) — ochronne blokowanie znanych złośliwych domen C2 i malware z aktualnych źródeł zagrożeń (URLhaus, ThreatFox, CERT.pl i inne), przeładowywanych na bieżąco co kilka minut.
- Buforowanie odpowiedzi i równoważenie obciążenia backendu pomiędzy Twoimi resolwerami BIND dla odporności podczas ataku.
- Szyfrowany DNS — DoT (853), DoH (443) i DoQ, terminowane na DNSdist z automatycznymi certyfikatami Let’s Encrypt.
Zgodność z NIS2
DNS został uznany za infrastrukturę krytyczną w ramach NIS2. Nasze utwardzenie odpowiada środkom technicznym z artykułu 21 ust. 2: kontrola dostępu, logowanie i retencja, ochronny DNS, szyfrowanie i monitorowanie. Możemy dostarczyć listę kontrolną zgodności dostosowaną do danego kraju oraz zintegrować alarmowanie z Twoim procesem zgłaszania incydentów do krajowego CSIRT (na przykład CSIRT NASK w Polsce). Zobacz nasze opcje wsparcia i NIS2.
Uczciwy zakres — co każda warstwa może, a czego nie może
- BGP FlowSpec wyraża wyłącznie kryteria dopasowania L3/L4 — nie potrafi analizować nazw zapytań DNS, więc nie zatrzymuje powodzi DNS w warstwie L7. To zadanie DNSdist.
- Limitowanie tempa odpowiedzi chroni Twój resolwer, ale powódź nadal dociera na łącze — zdarzenia wolumetryczne o skali terabitowej są eskalowane do centrum czyszczenia ruchu (scrubbing center).
- Wdrażamy warstwę dopasowaną do Twojego ruchu i budżetu; nie sprzedajemy pojedynczego urządzenia jako panaceum na wszystko.
Najczęściej zadawane pytania
Czy sam WanGuard może chronić DNS przed DDoS?
Nie. WanGuard i BGP FlowSpec obsługują część wolumetryczną — powodzie amplifikacyjne i refleksyjne na UDP/53. Powodzie DNS w warstwie aplikacyjnej (NXDOMAIN, water-torture) wymagają limitowania tempa odpowiedzi DNSdist w warstwie 7 (Layer 7). Wdrażamy oba rozwiązania, aby warstwy wzajemnie się uzupełniały.
Czym jest atak DNS water-torture (losowych subdomen)?
To powódź zapytań o losowe, nieistniejące subdomeny prawdziwej strefy. Każde wygląda jak prawidłowe żądanie, więc filtry na poziomie pakietów je przepuszczają; razem wyczerpują cache i CPU resolwera. Limitowanie tempa i dynamiczne blokowanie DNSdist je mitygują.
Czy wspieracie DNSSEC i szyfrowany DNS?
Tak — walidacja DNSSEC na BIND oraz DoT, DoH i DoQ na DNSdist z automatycznym odnawianiem certyfikatów.
Czy jest to zgodne z NIS2?
Jest zgodne z artykułem 21 ust. 2 NIS2: kontrola dostępu, logowanie i retencja, ochronny DNS, szyfrowanie i monitorowanie, a także zgłaszanie incydentów do krajowego CSIRT. Dostarczamy listę kontrolną oraz ślad dowodowy.
Zastępujecie nasz DNS czy utwardzacie to, co już mamy?
Jedno albo drugie. Utwardzamy Twój istniejący BIND i DNSdist albo wdrażamy nowy, utwardzony stos dopasowany do Twojej bazy abonentów — jako jednorazowy projekt lub z ciągłym zarządzanym wsparciem.