1. Новости
Заметки пользователей
16.09.2010 18:20
PDF
6715
5

RIPN объявили о подписании корня

Некотрое время назад по рунету поползли новости, по содержанию изрядно напоминавшие романы Толкиена: сформирована некая группа хранителей ключей от корневых серверов всея интернета. Общественность восприняла эти новости неоднозначно: одни решили что это вирусная реклама нового фильма, другие - что надвигается конец света интернета. 15 сентября Российский НИИ Развития Общественных Сетей (RIPN) сообщил о том, что мировая тенденция по внедрению DNSSEC  докатилась и до России.

Изначально Domain Name System (DNS) разрабатывался не в целях безопасности, а для создания масштабируемых распределенных систем. Со временем система DNS становится все более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные серверы и таким образом получают доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS распознаватель проверяет верность и целостность информации. Хотя защита IP адресов является непосредственной проблемой для многих пользователей, DNSSEC может защитить остальную информацию, такую как криптографические сертификаты общего назначения, хранящиеся в CERT record DNS. RFC 4398 описывает, как распределить эти сертификаты, в том числе по электронной почте, что позволяет использовать DNSSEC в качестве глобальной инфраструктуры открытых ключей электронной почты.

DNSSEC не обеспечивает конфиденциальность данных. В частности, все DNSSEC ответы аутентифицированны, но не шифруются. DNSSEC не защищает от DoS атак непосредственно, хотя в некотором роде делает это косвенно. Другие стандарты (не DNSSEC) используются для обеспечения большого количества данных, пересылаемых между серверами DNS. (материалы Wikipedia).

Итак, корневая зона наконец подписана. Хотя это событие имеет гораздо большую политическую, чем техническую значимость, решение этой задачи необходимо для будущего успешного внедрения DNSSEC.

Напомним, что DNSSEC обеспечивает возможность проверки аутентичности и целостности данных DNS. Другими словами, с помощью DNSSEC пользователь имеет возможность убедиться, что полученные данные не были модифицированы в процессе публикации и передачи. DNSSEC можно сравнить с сургучной печатью, которая хотя и не защищает письмо от посторонних глаз, но позволяет получателю убедиться, что письмо не было вскрыто, прочитано или подменено.

Первый вопрос - насколько защищен собственно процесс подготовки данных, редактирования и создания зоны DNS. Ошибочные данные, умышленно или случайно оказавшиеся в зоне, например, неправильные адреса вэб-сайта или почтовых серверов, будут переданы пользователю в ответ на его запрос независимо от использования DNSSEC. В данном случае значение имеет уровень внутренней безопасности и защищенности процесса.

Для того, чтобы лучше понять значение внедрения этой технологии для безопасности DNS, рассмотрим, насколько уязвима система в целом. Различные уязвимые места системы показаны на рисунке 2, а методы защиты на рисунке 3.

Рис.2 Уязвимые места DNS

RIPN объявили о подписании корня

Данные также могут быть модифицированы при передаче от мастер-сервера ко вторичным DNS-серверам, обслуживающих зону. Сегодня, для проверки целостности передачи данных используется протокол TSIG (Transaction SIGnature).

Пожалуй, наибольшую опасность представляет попадание неправильных данных в кэш резолверов, промежуточных серверов DNS, обслуживающих пользователей конкретной сети или организации, так называемое “отравление” кэша. Дело в том, что продолжительность жизни данных в кэше может быть достаточно значительной. В течение этого времени пользователи будут получать подложные ответы. Более того, внедрение подложных данных в кэш резолвера не представляет особого труда, как было продемонстрировано Дэном Каминским в 2008 году (с тех пор в программное обеспечение большинства стандартных резолверов были введены изменения, усложняющие проведение атаки). DNSSEC является единственным эффективным методом защиты, поскольку позволяет криптографически проверить аутентичность данных перед загрузкой их в кэш.

Наконец, ответы резолвера на запросы клиентов могут быть также модифицированы. DNSSEC здесь не поможет, если пользователь не производит валидацию ответов самостоятельно, а полагается на резолвер. Правда, канал между резолвером и пользователем, как правило, находится под административным контролем сервис-провайдера или администратора корпоративной сети, и зачастую имеет высокую степень защиты, например с помощью VPN.

От чего защищает DNSSEC?

Итак DNSSEC позволяет закрыть уязвимые места DNS и, предполагая, что DNSSEC внедрен повсеместно, существенно усилить защищенность системы разрешения имен в Интернете в целом. Однако эта система, несмотря на свою важность, является вспомогательной для достижения конечной цели пользователя - посещение вэб-сайта, осуществление электронного платежа через Интернет или обмена электронной почтой.

Отсутствие защиты DNSSEC может привести к тому, что имя сервера получит подложный адрес. Последствия могут быть разными: это и обращение в подложному вэб-сайту (например, сайту электронного магазина), и перехват электронной почты (например, с забытым паролем вашего логина, или просто отказ в обслуживании).

Рис. 3. Методы защиты DNS

RIPN объявили о подписании корня

5 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

Некоторое время назад по рунету поползли новости, по содержанию изрядно напоминавшие романы Толкиена: сформирована некая группа хранителей ключей от корневых серверов всея интернета. Общественность восприняла эти новости неоднозначно: одни решили что это вирусная реклама нового фильма, другие - что надвигается конец света интернета. 15 сентября Российский НИИ Развития Общественных Сетей (RIPN) сообщил о том, что мировая тенденция по внедрению DNSSEC докатилась и до России.

 

Полный текст

Гость vitalay
Гость vitalay

вызывает паранойю )

Гость ivan-govnov
Гость ivan-govnov

Крута, давно пора

Только эта новость больше для опеннета

 

Наши днс пытались ломать, сначала "травили кэш" - потом все остальное

Только вот интересно сколько времени и ресурсов займет верификация, а также внедрение, с учётом того что все только в планах

 

А как быть с e164 ?

mantyr
mantyr

Неграмотность пользователей, да и вообще уровень представления всей системы в целом не дадут возможности защитить этим механизмом.

 

Моё мнение - мир пойдёт по пути установления личных контактов, согласованного пиринга как AS, что уже, отчасти, есть, так и DNS и Mail данных.

 

Помнится у почтовых протоколов своя маршрутизация... её этим механизмом (DNSSEC) уж точно не вылечить.

 

И того, имеим кучку угроз и если бы не договорные отношения между провайдерами была бы полная анархия.

 

Можно предположить, что кто-то изобретёт мульти-протокол, по которому каждый компьютер можно будет однозначно идентифицировать и наделить полномочиями. Тогда как в галивудских боевиках на вождение компьютером будут выдавать водительские прова (ключ карту), а компьютеры регистрировать:) Но кто в это поверит?:)

Ivan_83
Ivan_83

Пеар DNSSEC.

 

Достаточно перейти на TCP, и кеш травится не будет, при этом и подписывать ничего не придётся.

И даже сейчас, когда везде DNS бегает по UDP кеши чёто массово не травят - а потому что это не так легко сделать как кажется, и пригодно разве что для точечных атак, но никак не массовых.

БОЛЬШЕ МАТЕРИЛОВ ПО ТЕМЕ
Конференция RIPE NCC в Москве
С 29-го сентября по 1-е октября этого года в Москве состоится региональная конференция RIPE NCC. Специально созданный комитет волонтеров разрабатывает обширную программу встречи, охватывающую широкий круг вопросов, стоящих перед интернет-сообществом сегодня.
07.09.2010 19:51
4959
0
Эксперемент RIS NCC - что-то поломалось...
В пятницу RIPE Routing Information Service (RIS) NCC проводили эксперимент по использованию нового атрибута BGP. Как сказано в последующем докладе, "в ходе эксперимента у некоторых провайдеров возникли проблемы с их сетевой инфраструктурой", по другим данным этот атрибут вызвал значительные сбои в работе сети, которые заключались в том, что маршрутизаторы, не сумев распознать этот атрибут, неверно адресовали 1% всего мирового трафика.
01.09.2010 14:21
6818
7