vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

RIPN объявили о подписании корня 4

Дата публикации: 16.09.2010
Количество просмотров: 6022
Автор:

Некотрое время назад по рунету поползли новости, по содержанию изрядно напоминавшие романы Толкиена: сформирована некая группа хранителей ключей от корневых серверов всея интернета. Общественность восприняла эти новости неоднозначно: одни решили что это вирусная реклама нового фильма, другие - что надвигается конец света интернета. 15 сентября Российский НИИ Развития Общественных Сетей (RIPN) сообщил о том, что мировая тенденция по внедрению DNSSEC  докатилась и до России.

Изначально Domain Name System (DNS) разрабатывался не в целях безопасности, а для создания масштабируемых распределенных систем. Со временем система DNS становится все более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные серверы и таким образом получают доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS распознаватель проверяет верность и целостность информации. Хотя защита IP адресов является непосредственной проблемой для многих пользователей, DNSSEC может защитить остальную информацию, такую как криптографические сертификаты общего назначения, хранящиеся в CERT record DNS. RFC 4398 описывает, как распределить эти сертификаты, в том числе по электронной почте, что позволяет использовать DNSSEC в качестве глобальной инфраструктуры открытых ключей электронной почты.

DNSSEC не обеспечивает конфиденциальность данных. В частности, все DNSSEC ответы аутентифицированны, но не шифруются. DNSSEC не защищает от DoS атак непосредственно, хотя в некотором роде делает это косвенно. Другие стандарты (не DNSSEC) используются для обеспечения большого количества данных, пересылаемых между серверами DNS. (материалы Wikipedia).

Итак, корневая зона наконец подписана. Хотя это событие имеет гораздо большую политическую, чем техническую значимость, решение этой задачи необходимо для будущего успешного внедрения DNSSEC.

Напомним, что DNSSEC обеспечивает возможность проверки аутентичности и целостности данных DNS. Другими словами, с помощью DNSSEC пользователь имеет возможность убедиться, что полученные данные не были модифицированы в процессе публикации и передачи. DNSSEC можно сравнить с сургучной печатью, которая хотя и не защищает письмо от посторонних глаз, но позволяет получателю убедиться, что письмо не было вскрыто, прочитано или подменено.

Первый вопрос - насколько защищен собственно процесс подготовки данных, редактирования и создания зоны DNS. Ошибочные данные, умышленно или случайно оказавшиеся в зоне, например, неправильные адреса вэб-сайта или почтовых серверов, будут переданы пользователю в ответ на его запрос независимо от использования DNSSEC. В данном случае значение имеет уровень внутренней безопасности и защищенности процесса.

Для того, чтобы лучше понять значение внедрения этой технологии для безопасности DNS, рассмотрим, насколько уязвима система в целом. Различные уязвимые места системы показаны на рисунке 2, а методы защиты на рисунке 3.

Рис.2 Уязвимые места DNS

Данные также могут быть модифицированы при передаче от мастер-сервера ко вторичным DNS-серверам, обслуживающих зону. Сегодня, для проверки целостности передачи данных используется протокол TSIG (Transaction SIGnature).

Пожалуй, наибольшую опасность представляет попадание неправильных данных в кэш резолверов, промежуточных серверов DNS, обслуживающих пользователей конкретной сети или организации, так называемое “отравление” кэша. Дело в том, что продолжительность жизни данных в кэше может быть достаточно значительной. В течение этого времени пользователи будут получать подложные ответы. Более того, внедрение подложных данных в кэш резолвера не представляет особого труда, как было продемонстрировано Дэном Каминским в 2008 году (с тех пор в программное обеспечение большинства стандартных резолверов были введены изменения, усложняющие проведение атаки). DNSSEC является единственным эффективным методом защиты, поскольку позволяет криптографически проверить аутентичность данных перед загрузкой их в кэш.

Наконец, ответы резолвера на запросы клиентов могут быть также модифицированы. DNSSEC здесь не поможет, если пользователь не производит валидацию ответов самостоятельно, а полагается на резолвер. Правда, канал между резолвером и пользователем, как правило, находится под административным контролем сервис-провайдера или администратора корпоративной сети, и зачастую имеет высокую степень защиты, например с помощью VPN.

От чего защищает DNSSEC?

Итак DNSSEC позволяет закрыть уязвимые места DNS и, предполагая, что DNSSEC внедрен повсеместно, существенно усилить защищенность системы разрешения имен в Интернете в целом. Однако эта система, несмотря на свою важность, является вспомогательной для достижения конечной цели пользователя - посещение вэб-сайта, осуществление электронного платежа через Интернет или обмена электронной почтой.

Отсутствие защиты DNSSEC может привести к тому, что имя сервера получит подложный адрес. Последствия могут быть разными: это и обращение в подложному вэб-сайту (например, сайту электронного магазина), и перехват электронной почты (например, с забытым паролем вашего логина, или просто отказ в обслуживании).

Рис. 3. Методы защиты DNS

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/19666/ripn-obyyavili-o-podpisanii-kornya.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться