Slutet av livscykeln för DynDNS: Bibehålla sekundära funktioner och säkerhetsfunktioner

Slutet av livscykeln för DynDNS: Bibehålla sekundära funktioner och säkerhetsfunktioner

Sedan DDoS-attacken (distribuerad överbelastningsattack/DDoS) Mirai botnet 2016 har DynDNS-tjänsten genomgått ett antal drastiska förändringar. Senare under 2016 förvärvade Oracle Dyn och förändrade landskapet för DNS-leverantörer (domännamnsystem) i företagsklass avsevärt. Sedan Oracle förvärvade Dyn har Dyn utfärdat tre meddelanden om slutet av livscykeln, samt meddelat att de inte längre kommer att stödja viktiga DNS-tjänster från och med den 31 maj 2023, däribland:

  • DNS-säkerhetstillägg (DNSSEC)
  • Externa namnservrar
  • Sekundära DNS-statusmeddelanden
  • Meddelanden om zonpublicering
  • Meddelande om avancerade tjänster för bevakning av agentändringar

Vad innebär detta?

Det innebär att företag måste vidta vissa åtgärder. Först behöver de välja en ny DNS-leverantör och sedan migrera till den infrastrukturen. För att förstå risken och effekten av att byta DNS-tjänster måste företagen först förstå hoten mot den auktoritativa DNS-värdnivån.

DDoS

Det kanske mest störande och förekommande hotet mot dagens DNS är DDoS-attacken. DDoS-attacker riktar sig mot webbplatser och servrar genom att störa nätverkstjänster i ett försök att förbruka ett programs resurser. Förövarna bakom dessa attacker öser felaktig trafik över en webbplats, vilket resulterar i försämrad funktion hos webbplatsen eller att webbplatsen tas offline helt och hållet. I och med spridningen av oskyddade IoT-enheter (Internet of Things) kan illasinnade aktörer skapa en armé av robotnätverk till sin offensiv.

Motiven bakom DDoS omfattar utpressning, dimridåer för att dölja intrångsförsök, statligt sponsrade attacker, konkurrenshämmande affärsmetoder, hackare som protesterar mot företags aktiviteter och ibland är de även självförvållade attacker till följd av oavsiktlig felkonfiguration. Det går inte att förutsäga var eller när de kommer att inträffa. DDoS-attacker riktas ofta mot databaser, program och infrastruktur samtidigt för att öka chansen för framgång.

DNS-cacheförgiftning

DNS-cacheförgiftning kallas även DNS-förfalskning och innebär att falsk information anges i en DNS-cache så att DNS-frågor returnerar ett felaktigt svar och användarna dirigeras till fel webbplatser. DNS-uppslagningstjänster kallas ofta för telefonboken på internet. När uppslagningstjänsterna fungerar korrekt omvandlar de mänskligt läsbar text till IP-adresser och lagrar det i ett översatt minne för att minska frekvensen av DNS-frågor.

Motiven bakom DNS-förgiftning omfattar nätfiske, skadligt innehåll, till exempel datormaskar eller virus, samt insamling av personlig information, till exempel inloggningsuppgifter eller bankkortsuppgifter. Säker DNS med DNSSEC – det använder kryptografiska digitala signaturer som signerats med ett betrott offentligt nyckelcertifikat i syfte att fastställa äktheten hos data, vilket kan motverka attacker i form av cacheförgiftning.

Så skyddar företagsorganisationer sig från DNS-hot

Att minska DNS-säkerhetshoten börjar med en metod i flera lager eller att använda flera skyddsstrategier parallellt. En förstärkt DNS-infrastruktur bör kunna stå emot stora DDoS-attacker utan att tappa kundanslutningen. Om man förstår hastigheten för bandbreddintrånget hos sin DNS-leverantör kan man öka motståndskraften och minska riskerna kopplade till nätverksincidenter. Den geografiska spridningen av noder kan även utnyttjas, eftersom det innebär fördelar som högre geografisk redundans och transitredundans.

Att ha en dedikerad SOC-infrastruktur dygnet runt under hela året är även avgörande vid bevakning och eliminering av onormal trafik – något som för det mesta kan utföras på lokal nivå. När avvikande trafik har upptäckts med hjälp av avancerade dataanalystekniker, som telemetri, bör den automatiskt isoleras och omdirigeras bort från målservrarna med hjälp av motåtgärder, vilket oftast innebär omdirigering via Border Gateway Protocol (BGP). Om attacktrafiken håller på att överskrida den lokala begränsningskapaciteten bör målsegmentet flyttas till globala noder. Med en separat och dedikerad DDoS-infrastruktur kan kunderna hålla sin affärskritiska infrastruktur online medan SOC-specialister arbetar för att återställa DNS-tjänster till normal funktion utan avbrott. Dessa nätverk bör granskas oberoende av varandra och ge kunderna offentliga meddelanden för att bekräfta att de verkligen är separerade i enlighet med de certifieringsstandarder som fastställts av American Institute of Certified Public Accountants i SSAE nr 18.

När det gäller separat DNS-infrastruktur möjliggör en sekundär DNS ofta att en eller flera DNS-leverantörer tillhandahåller auktoritativa DNS-upplösningstjänster, vilket kan motverka DDoS-hotet bättre. Att upprätthålla en avancerad auktoritativ DNS-funktion hos olika leverantörer har tidigare visat sig vara en utmaning för företagskunder, men CSC:s Ultimate DNS har utformats för att tillgodose de växande behoven hos företag. Det kombinerar alla funktioner som en organisation behöver inom DNS-hantering, tillsammans med smidig integrering av deras DNS- och domänportfölj, CNAME-förenkling (alias-poster) och alternativ för DNSSEC, geolokalisering, viktad belastningsutjämning och felöverlämning. Ultimate DNS har dessutom den extra redundansen hos ett andra globalt DNS anycast-nätverk via ett användargränssnitt i aktiv konfiguration, på en infrastruktur i världsklass med den bästa driftstatistiken i branschen.

Vad är viktigt hos en DNS-leverantör?

Molnleverantörer tillhandahåller alltför ofta självbetjäningsverktyg och begränsar möjligheten att tillhandahålla en separat sekundär DNS-infrastruktur, vilket utsätter kunderna för de risker och hot det medför. Baserat på ovanstående beskrivningar av hoten och metoderna för att motverka dessa bör företag sträva efter att ingå avtal med DNS-infrastrukturleverantör av företagsklass med:

  1. Bevisad statistik på 100 % drifttid
  2. Förmågan att motverka det växande hotet från DDoS
  3. En sekundär infrastruktur i företagsklass utöver den primära
  4. Avancerade funktioner i både den primära och sekundära infrastrukturen
  5. Bevisad statistik för motverkande av DNS för de största varumärkena i världen

Migrera eller byta DNS-leverantörer på ett säkert sätt

En lyckad migrering innebär inget driftstopp för organisationen. Att ha en väldefinierad projektplan och ett team på plats minskar avsevärt risken för driftstopp eller andra avbrott på DNS-nivå.

Därför är det viktigt att sätta samman rätt interna team och välja en DNS-partner som kan underlätta migreringen.

Sammanfattning

Vänta inte till sista minuten. När slutet av livscykeln för DynDNS den 31 maj 2023 närmar sig avsätter leverantörerna alltfler resurser för att hjälpa företagen. Även om det finns flera DNS-leverantörer som företag kan migrera till uppfyller få de kriterier för företagsklass som anges ovan, så letandet bör starta omedelbart.

Kontakta oss för att få information om våra olika DNS-tjänster.