Soluzioni di sicurezza per i server DNS

Sprovvisti di un sistema di sicurezza intrinseco, i server DNS (Domain Name System) di una serie di aziende sono stati compromessi ripetutamente permettendo attività dannose come cache-poisoning, reindirizzamenti di telefonate, attacchi man-in-the-middle finalizzati alla sottrazione di password, alla deviazione delle e-mail, attacchi DOS per impedire l’accesso ai servizi, ecc.

La tecnologia DNSSEC (Domain Name Systems Security Extensions) protegge la gerarchia di server DNS firmando digitalmente i registri DNS e garantendo che i messaggi ricevuti siano gli stessi di quelli inviati.

Per proteggere i server DNS è necessaria un’elevata protezione delle chiavi

Le DNSSEC sostanzialmente implementano infrastrutture a chiave pubblica (PKI) per garantire comunicazioni sicure tra server DNS. In quanto PKI, le DNSSEC hanno bisogno di alcune procedure come la generazione, la firma e la gestione delle chiavi. Tuttavia, nonostante i vantaggi potenziali rappresentati dalla DNSSEC, gli utili previsti non sono garantiti poiché i registri delle risorse introdotti vengono mantenuti in un file non criptato.

È solo quando l’intera infrastruttura DNSSEC è completamente sicura che le aziende possono iniziare a sfruttare i vantaggi che apporta. Per farlo, necessitano di funzionalità per svolgere le azioni seguenti:

• Proteggere le firme digitali. I messaggi DNS devono essere firmati digitalmente per garantire la validità dei servizi DNS.
• Controllare gli accessi. Le aziende devono garantire che soltanto i clienti autorizzati e il personale interno possano accedere ad applicazioni e dati sensibili.
• Mantenere l’integrità dell’applicazione. L’intero codice e tutti i processi dell’applicazione associati devono essere protetti per garantirne l’integrità e impedire esecuzioni non autorizzate.
• Scalare per elaborare grandi quantità di dati. Poiché i server DNS vengono aggiornati molto spesso, le infrastrutture DNSSEC devono offrire le prestazioni e la scalabilità necessarie per far sì che le elaborazioni siano tempestive in qualunque momento.

Protezione dei server DNS grazie agli Hardware Security Module

Per garantire la validità dei servizi DNS, la DNSSEC impiega la crittografia di chiavi pubbliche per firmare digitalmente i messaggi DNS. Per realizzare il sistema di sicurezza necessario, è fondamentale implementare una protezione robusta delle chiavi di firma private. Se le chiavi e i certificati digitali corrispondenti vengono compromessi, la catena di fiducia nella gerarchia DNS è spezzata, rendendo obsoleto l’intero sistema. È qui che entrano in gioco gli Hardware Security Module.

Gli HSM sono sistemi dedicati che proteggono in maniera fisica e logica le chiavi e le elaborazioni crittografiche alla base delle firme digitali. Gli HSM supportano le funzionalità seguenti:

• Gestione del ciclo di vita, tra cui la generazione, distribuzione, rotazione, memorizzazione, terminazione e archiviazione delle chiavi.
• Elaborazione crittografica, che isola e riduce questi processi eliminando l'onere in capo ai server applicativi.

Archiviando le chiavi crittografiche in un dispositivo centralizzato e temprato, gli HSM possono eliminare i rischi presenti quando queste risorse si trovano in piattaforme disparate e senza protezioni adeguate. Inoltre, questa centralizzazione può facilitare significativamente l’amministrazione dei servizi di sicurezza.

HSM di Thales per DNSSEC:

• Sistemi di supporto per le ancore di fiducia delle DNSSEC
• Sicurezza delle chiavi ZSK e KSK root e di gerarchia DNS
• Un solido motore crittografico esegue l’offload del carico crittografico dal server DNS
• Vasta gamma di HSM per svariati requisiti della DNSSEC
• API standard fra cui PKCS#11, Java, MS CAPI
• Disponibili modelli con certificazione FIPS e Common Criteria
• Integrazione con piattaforme DNS leader come OpenDNSSEC, BIND 9.7, FreeBSD