Errori di configurazione e vulnerabilità rendono i Domain Name System, ovvero l’elenco telefonico di Internet, una delle principali cause di downtime
Se ne parla poco, ma i server DNS (Domain Name System) e il DHCP (Dynamic Host Configuration Protocol) rappresentano i cardini intorno a cui ruotano sia la Internet pubblica sia le reti IP private. Il loro ruolo, infatti, è quello di convertire il nome che noi digitiamo sulla barra del browser, oppure il link che ci appare in un documento pubblicato su Internet, nell’indirizzo IP del destinatario. Una sorta di elenco telefonico globale, senza il quale non potremmo nemmeno mandare le mail, perché anche i messaggi contengono il nome del dominio di destinazione. I DHCP, in particolare, entrano in gioco quando gli indirizzi IP sono dinamici, ovvero assegnati dal provider agli utenti connessi di volta in volta.
Nella sostanza, si tratta perlopiù di un server Unix o Linux su cui è installato un software chiamato BIND (Berkeley Internet Name Domain).
Ogni rete aziendale ha bisogno di un DNS, che è in parte interno (verso la rete aziendale), in parte esterno (verso la Internet pubblica).
Si può sceglier, invece, se affidarsi a un provider o gestirlo in casa.
DNS sotto attacco
Secondo Idc, gli errori nella gestione del DNS e del DHCP sono la principale causa del downtime delle reti. In effetti, i server DNS sono uno dei target preferenziali degli attacchi via Internet, poiché molti di questi sono poco aggiornati, mal configurati e vulnerabili.
Spiega Cricket Liu, autore del libro “DNS e BIND” e vice president di Infoblox, una società specializzata in questo ambito: «Da una ricerca effettuata lo scorso luglio, risulta che ci sono 7,5 milioni di DNS esterni sulla Internet pubblica. Solo lo 0,2% è basato sull’ultima versione di BIND, 9.3, la più sicura, mentre il 56% su quella precedente. Tutti gli altri utilizzano versioni vecchie e di conseguenza, sono esposti agli attacchi. È un numero enorme, il che significa che se anche una piccola percentuale è fuori servizio i disservizi sono notevoli».
In effetti, l’ISC ha evidenziato 19 vulnerabilità in BIND, 11 delle quali espongono il sistema ad attacchi di tipo Denial of Service. Anche il SANS mette BIND in testa all’elenco delle vulnerabilità dei sistemi Unix.
Non è solo teoria, perché nel libro nero degli attacchi informatici già sono scritte diverse testimonianze, fra cui un attacco a Google, a maggio del 2005.
Uno dei problemi, spiega Liu, riguarda il cosiddetto “recursive name service”, che gestisce gli indirizzamenti che arrivano da altri link sparsi su Internet. Si differenzia dal servizio “authoritative”, che invece consiste nel digitare direttamente sulla barra del browser il nome del sito che si vuole raggiungere.
Il servizio recursive è quello più delicato perché gli hacker possono creare un attacco DoS inviando un numero elevatissimo di richieste da falsi indirizzi IP.
Il consiglio di Liu per le aziende è quello di separare i name server authoritative da quelli recursive, restringendo quest’ultimo alle query provenienti dagli indirizzi interni. In DNS sono esposti anche ad attacchi di tipo pharming, in cui l’attacker prende possesso della cache del sistema e indirizza l’utente che si collega verso un sito diverso da quello desiderato, senza che questi abbia modo di accorgersene.
