vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

RIPN объявили о подписании корня 5

Дата публикации: 16.09.2010
Количество просмотров: 5942

Некотрое время назад по рунету поползли новости, по содержанию изрядно напоминавшие романы Толкиена: сформирована некая группа хранителей ключей от корневых серверов всея интернета. Общественность восприняла эти новости неоднозначно: одни решили что это вирусная реклама нового фильма, другие - что надвигается конец света интернета. 15 сентября Российский НИИ Развития Общественных Сетей (RIPN) сообщил о том, что мировая тенденция по внедрению DNSSEC  докатилась и до России.

Изначально Domain Name System (DNS) разрабатывался не в целях безопасности, а для создания масштабируемых распределенных систем. Со временем система DNS становится все более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные серверы и таким образом получают доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS распознаватель проверяет верность и целостность информации. Хотя защита IP адресов является непосредственной проблемой для многих пользователей, DNSSEC может защитить остальную информацию, такую как криптографические сертификаты общего назначения, хранящиеся в CERT record DNS. RFC 4398 описывает, как распределить эти сертификаты, в том числе по электронной почте, что позволяет использовать DNSSEC в качестве глобальной инфраструктуры открытых ключей электронной почты.

DNSSEC не обеспечивает конфиденциальность данных. В частности, все DNSSEC ответы аутентифицированны, но не шифруются. DNSSEC не защищает от DoS атак непосредственно, хотя в некотором роде делает это косвенно. Другие стандарты (не DNSSEC) используются для обеспечения большого количества данных, пересылаемых между серверами DNS. (материалы Wikipedia).

Итак, корневая зона наконец подписана. Хотя это событие имеет гораздо большую политическую, чем техническую значимость, решение этой задачи необходимо для будущего успешного внедрения DNSSEC.

Напомним, что DNSSEC обеспечивает возможность проверки аутентичности и целостности данных DNS. Другими словами, с помощью DNSSEC пользователь имеет возможность убедиться, что полученные данные не были модифицированы в процессе публикации и передачи. DNSSEC можно сравнить с сургучной печатью, которая хотя и не защищает письмо от посторонних глаз, но позволяет получателю убедиться, что письмо не было вскрыто, прочитано или подменено.

Первый вопрос - насколько защищен собственно процесс подготовки данных, редактирования и создания зоны DNS. Ошибочные данные, умышленно или случайно оказавшиеся в зоне, например, неправильные адреса вэб-сайта или почтовых серверов, будут переданы пользователю в ответ на его запрос независимо от использования DNSSEC. В данном случае значение имеет уровень внутренней безопасности и защищенности процесса.

Для того, чтобы лучше понять значение внедрения этой технологии для безопасности DNS, рассмотрим, насколько уязвима система в целом. Различные уязвимые места системы показаны на рисунке 2, а методы защиты на рисунке 3.

Рис.2 Уязвимые места DNS

Данные также могут быть модифицированы при передаче от мастер-сервера ко вторичным DNS-серверам, обслуживающих зону. Сегодня, для проверки целостности передачи данных используется протокол TSIG (Transaction SIGnature).

Пожалуй, наибольшую опасность представляет попадание неправильных данных в кэш резолверов, промежуточных серверов DNS, обслуживающих пользователей конкретной сети или организации, так называемое “отравление” кэша. Дело в том, что продолжительность жизни данных в кэше может быть достаточно значительной. В течение этого времени пользователи будут получать подложные ответы. Более того, внедрение подложных данных в кэш резолвера не представляет особого труда, как было продемонстрировано Дэном Каминским в 2008 году (с тех пор в программное обеспечение большинства стандартных резолверов были введены изменения, усложняющие проведение атаки). DNSSEC является единственным эффективным методом защиты, поскольку позволяет криптографически проверить аутентичность данных перед загрузкой их в кэш.

Наконец, ответы резолвера на запросы клиентов могут быть также модифицированы. DNSSEC здесь не поможет, если пользователь не производит валидацию ответов самостоятельно, а полагается на резолвер. Правда, канал между резолвером и пользователем, как правило, находится под административным контролем сервис-провайдера или администратора корпоративной сети, и зачастую имеет высокую степень защиты, например с помощью VPN.

От чего защищает DNSSEC?

Итак DNSSEC позволяет закрыть уязвимые места DNS и, предполагая, что DNSSEC внедрен повсеместно, существенно усилить защищенность системы разрешения имен в Интернете в целом. Однако эта система, несмотря на свою важность, является вспомогательной для достижения конечной цели пользователя - посещение вэб-сайта, осуществление электронного платежа через Интернет или обмена электронной почтой.

Отсутствие защиты DNSSEC может привести к тому, что имя сервера получит подложный адрес. Последствия могут быть разными: это и обращение в подложному вэб-сайту (например, сайту электронного магазина), и перехват электронной почты (например, с забытым паролем вашего логина, или просто отказ в обслуживании).

Рис. 3. Методы защиты DNS

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/19666/ripn-obyyavili-o-podpisanii-kornya.html

Комментарии:(5) комментировать

16 сентября 2010 - 20:46
Robot_NagNews:
#1

Материал:
Некоторое время назад по рунету поползли новости, по содержанию изрядно напоминавшие романы Толкиена: сформирована некая группа хранителей ключей от корневых серверов всея интернета. Общественность восприняла эти новости неоднозначно: одни решили что это вирусная реклама нового фильма, другие - что надвигается конец света интернета. 15 сентября Российский НИИ Развития Общественных Сетей (RIPN) сообщил о том, что мировая тенденция по внедрению DNSSEC докатилась и до России.

Полный текст


16 сентября 2010 - 20:46
Гость_vitalay_:
#2

вызывает паранойю )


17 сентября 2010 - 3:52
Гость_ivan-govnov_:
#3

Крута, давно пора
Только эта новость больше для опеннета

Наши днс пытались ломать, сначала "травили кэш" - потом все остальное
Только вот интересно сколько времени и ресурсов займет верификация, а также внедрение, с учётом того что все только в планах

А как быть с e164 ?


17 сентября 2010 - 8:49
mantyr:
#4

Неграмотность пользователей, да и вообще уровень представления всей системы в целом не дадут возможности защитить этим механизмом.

Моё мнение - мир пойдёт по пути установления личных контактов, согласованного пиринга как AS, что уже, отчасти, есть, так и DNS и Mail данных.

Помнится у почтовых протоколов своя маршрутизация... её этим механизмом (DNSSEC) уж точно не вылечить.

И того, имеим кучку угроз и если бы не договорные отношения между провайдерами была бы полная анархия.

Можно предположить, что кто-то изобретёт мульти-протокол, по которому каждый компьютер можно будет однозначно идентифицировать и наделить полномочиями. Тогда как в галивудских боевиках на вождение компьютером будут выдавать водительские прова (ключ карту), а компьютеры регистрировать:) Но кто в это поверит?:)


17 сентября 2010 - 19:42
Ivan_83:
#5

Пеар DNSSEC.

Достаточно перейти на TCP, и кеш травится не будет, при этом и подписывать ничего не придётся.
И даже сейчас, когда везде DNS бегает по UDP кеши чёто массово не травят - а потому что это не так легко сделать как кажется, и пригодно разве что для точечных атак, но никак не массовых.


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться