Yeni Nesil Ağ Güvenliği Ders Notu 5 DNS ve BGP Güvenliği Mehmet Demirci 1
Bugün Domain Name System ve güvenliği Border Gateway Protocol ve güvenliği 2
İsimlendirme (Adlandırma) Domain Name System (DNS) İsimler IP adresleri ( www.gazi.edu.tr 194.27.18.25 ) http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html 3
İsimlendirme (Adlandırma) Domain Name System (DNS) Kayıt türleri A kaydı: isim IP NS kaydı: isim yetkili isim sunucusu (authoritative nameserver) Git ona sor. MX kaydı: isim posta sunucusu (mail server) CNAME: standart isim (canonical name) AAAA: isim IPv6 adresi 4
DNS Saldırıları DNS Cache Poisoning DNS sunucusunun cache içerisinde yanlış kayıt tutmasına yol açmak Bunun için şunlar yapılabilir: İlgisiz veri (unrelated data) saldırısı - çözüldü İlgili veri (related data) saldırısı - çözüldü DNS Spoofing Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 5
DNS Saldırıları DNS Spoofing Araya girip başka sunucuya giden sorguya cevap vermek Gerçek sunucunun IP adresi sahte paketin başlığına yazılır. Bir tek IP Spoofing yetmez, sorguyla birlikte giden ID numarasını da bilmesi gerekir. Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 6
DNS Saldırıları DNS ID Hacking Saldırgan ID yi tespit etmek için Farklı ID ler deneyebilir. Eğer gerçek sunucundan önce doğru cevabı verirse başarmış olur. Gerçek sunucuyu yavaşlatmak için ona flood yapabilir. Sunucu sıralı ID kullanıyorsa bundan faydalanabilir. Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 7
DNS Security Extensions (DNSSEC) DNSSEC Kimlik doğrulama ve bütünlük sağlar. DNS cevapları dijital imza içerir. Evrensel kullanıma henüz ulaşmamıştır. 8
İnternet te Yönlendirme İnternet birbirine bağlı birçok özerk sistemden oluşur. Autonomous system AS Dünyada ~50 bin, Türkiye de <500 Intradomain: Alan içi Interdomain: Alanlar arası 9
Alan İçi Yönlendirme Intradomain routing Distance Vector Komşulara kendi yönlendirme tablonun kopyasını yolla. Her varış noktasına en kısa mesafeyi hesapla. Bellman-Ford Algoritması Link State Her düğüm kendi ağ resmini diğer herkesle paylaşır. Komşuları için d v, diğerleri için Sonra hepsi diğer bütün düğümlere en kısa mesafeyi hesaplar. 10
Alanlar Arası Yönlendirme Özerk sistemler (AS) arasında yönlendirme için Border Gateway Protocol (BGP) Route advertisement (yol reklamı) dağıtır. 11
ebgp vs. ibgp ebgp: Komşu AS lerin sınır yönlendiricileri (border routers) arasında ibgp: AS içinde dışarıdaki noktalarla ilgili reklamların dağıtımı ibgp IGP 12
IGP vs. ibgp IGP: Interior Gateway Protocol, intradomain (alan için) AS içi noktalar için yol bilgilerini içeride dağıtır. RIP, OSPF, ISIS ibgp: Internal BGP AS dışındaki noktalar için yol bilgilerini içeride dağıtır. 13
BGP yolları nasıl seçer? BGP birden fazla yol seçeneğinin arasından birini seçmelidir. 1. Yerel tercih (Local preference) Daha yükseği seç. 2. AS yol uzunluğu (AS path length) Daha kısayı seç. 3. Çoklu çıkış ayırıcısı (Multi-exit discriminator, MED) Daha küçüğü seç. (Eğer reklam aynı AS ten başlamışsa) 4. IGP yol uzunluğu Daha kısayı seç Sıcak patates yönlendirmesi (Hot potato routing) 14
Yerel tercih (Local preference) İçeriden dışarıya giden trafiği yönlendirmek için bir yöntem 15
AS yol uzunluğu (path length) Kasten uzatılabilir. AS Path Prepending Tercih edilmeyen yolu uzun göstermek için 16
Çoklu çıkış ayırıcısı (MED) Dışarıdan içeriye gelen trafiği yönlendirmek için bir yöntem Diğer AS lerin trafiği bana ne yolla göndereceğini belirlemek için 17
Özerk sistemler arası ilişkiler 1. Müşteri Sağlayıcı İlişkisi (customer - provider) 2. Eşdüzey ilişki (peering) Müşteri velinimettir. Müşteri > Eş > Sağlayıcı 18
BGP (Özet) İnternet te özerk sistemler (AS), sahip oldukları IP adreslerini gruplayarak prefix halinde birbirlerine duyururlar. Bu duyuruları yapmak ve alanlar arası yönlendirme tablolarını oluşturmak için kullanılan protokol, Border Gateway Protocol yani BGP dir. Bu prefix bana ait / ben bu adreslere trafik ulaştırabilirim. 19
BGP Hijacking IP Hijacking de denir. Kasıtlı veya yanlışlıkla yapılabilir. AS, içinde olmayan prefixi duyurursa, AS, başka bir AS in duyurduğu bir prefixten daha spesifik olanını duyurursa, AS, diğer AS e giden daha bir kısa yolun kendi üzerinden geçtiğini duyurursa Sonuçta paketler yanlış yere gider veya döngüye girip kaybolur. 20
BGP Hijacking Normalde ISP nin gelen duyuruları kontrol edip geçerli bir IP alanı için olduklarını doğrulaması lazım (route filtering). Ama bu her zaman yapılmıyor. Bir yönlendiricinin AS adına yetkili olduğunu veya ISP ler arasında bir adresin gerçekten bir prefixe sahip olup olmadığını doğrulayacak bir otorite yok. 21
BGP Hijacking Örnekler AS 7007 Olayı, 1997: http://en.wikipedia.org/wiki/as_7007_incident TTNet Tatsızlığı, 2004: http://research.dyn.com/2005/12/internetwidenearcatastrophela/ Pakistan ın Youtube u kapatması, 2008: https://www.ripe.net/publications/news/industrydevelopments/youtube-hijacking-a-ripe-ncc-ris-case-study https://www.youtube.com/watch?v=izlpkuaoe50 Çin, 2014: http://www.bgpmon.net/chinese-isp-hijacked-10-of-theinternet/ 22
BGP Güvenlik Açıkları RFC 4272 de açıklanmıştır: https://www.ietf.org/rfc/rfc4272.txt Genel yönlendirme tehditleri: http://tools.ietf.org/html/rfc4593 23
BGP Güvenlik Çözümleri Secure BGP (S-BGP): http://www.ir.bbn.com/sbgp/ Resource Public Key Infrastructure (RPKI): http://en.wikipedia.org/wiki/resource_public_key_infrastructure 24