211service.com
DNS drošības protokols iegūst impulsu
Tehnologi, kas atbalsta labāku domēna vārdu sistēmas (DNS) drošību, bieži ir prognozējuši, ka tehnoloģija tiks ieviesta nākamo divu līdz piecu gadu laikā. Tas, ka šīs prognozes turpinās jau pusotru gadu desmitu, ir kļuvis par iekšēju joku nozarē.
Advokātiem beidzot var būt sava diena. Pirmdien uzņēmums, kas pārvalda .com un .net reģistrus, VeriSign , paziņos par savu stratēģiju pakāpeniski pārbaudīt un izvietot DNS drošību (DNSSEC) līdz 2011. gada pirmajam ceturksnim diviem augstākā līmeņa domēniem. The Interneta korporācija piešķirtajiem vārdiem un numuriem (ICANN) – organizācija, kas koordinē interneta infrastruktūras īpašniekus – jau ir paziņojusi, ka sāks procesu, 1. decembrī izveidojot augstākā līmeņa atslēgu domēna vārdu verifikācijai.
Divi galvenie soļi sniedz DNSSEC tik ļoti nepieciešamo stimulu, saka Džo Valdrons, VeriSign produktu pārvaldības direktors.
Es domāju, ka mēs esam līkuma punktā, viņš saka. No šī brīža līdz 12 līdz 18 mēnešiem pēc šī brīža jūs redzēsit ievērojamu adopcijas apjomu reģistros, reģistratūrā, interneta pakalpojumu sniedzējos un domēna vārdu turētājos.
Domēna vārdu sistēma ir pamats, uz kura tiek veidots internets. DNS serveri pārvērš viegli saprotamus domēna nosaukumus, piemēram, technologyreview.com, skaitliskās interneta adresēs, ko datori un tīkla ierīces izmanto, lai sazinātos savā starpā. DNSSEC pievieno datus domēna ierakstiem, ievietojot kriptogrāfisku informāciju, ko var izmantot, lai pārbaudītu, vai adrese ir derīgs domēna galamērķis.
Tomēr, tā kā DNSSEC ir nepieciešamas izmaiņas serveros un programmatūrā, kas pārvalda interneta pamatkomponentus, uzņēmumi un organizācijas ir pretojušās tās pieņemšanai.
Piemēram, deviņdesmito gadu beigās bija lielas bažas par saindēšanās ar kešatmiņu uzbrukumiem, sacīja Dens Kaminskis, uzņēmuma iespiešanās pārbaudes direktors. IOActive , drošības pakalpojumu uzņēmums Sietlā. Daudzi cilvēki teica, ka mums kaut kas ir jādara lietas labā, bet mēs neko nedarījām.
Turklāt domēna vārdu sistēmas ierakstu apstiprināšanai nepieciešamo kriptogrāfisko atslēgu pārvaldība ir sarežģīta. Katra domēna atslēga ir jāapstiprina vai jāparaksta ar citu atslēgu, kas atrodas augstāk uzticības ķēdē. Dot-com domēnus apstiprinās atslēga, ko izvieto VeriSign. To savukārt apstiprinās DNS atslēgas parakstīšanas atslēga. ICANN kopā ar ASV Tirdzniecības departamentu un VeriSign pārvaldīs galveno atslēgu.
Kaminskis, iespējams, ir pievienojis zināmu stimulu virzībai uz DNSSEC. 2008. gadā nopietna kļūda, ko atklāja pētnieks, mudināja nozari sadarboties, lai ieviestu risinājumu DNS drošības uzlabošanai. Ievainojamība ļāva uzbrucējam viltot DNS ierakstus, lai cilvēks, kas sērfo internetā, noticētu, piemēram, ka dodas uz savu banku, bet patiesībā nodod savu lietotājvārdu un paroli datu zagļiem. Nozare apvienojās, lai izvietotu ielāpus; tomēr tie bija pagaidu pasākums, nevis reāls risinājums.
Lai gan ir ierosinātas citas domēna vārdu sistēmas nodrošināšanas metodes, nevienai no tām nav pievērsta tāda uzmanība un pārbaude, kāda ir bijusi DNSSEC. Kaminskis ticēja DNSSEC nepieciešamībai. 2009. gadā viņš kļuva par evaņģēlistu, runājot ar ikvienu, kurš klausās, mēģinot paātrināt DNSSEC pieņemšanu.
Kaminskis lika cilvēkiem saprast, ka DNS ir daudz nepilnību, par kurām viņi iepriekš nedomāja, saka Kīts Mičels, Internet Systems Consortium, bezpeļņas organizācijas, kas izstrādā vispopulārāko DNS programmatūru, kas pazīstama kā Bērklija internets, inženierzinātņu direktors. Nosauciet Dēmonu vai BIND. Un DNSSEC ir gandrīz vienīgā spēle pilsētā, kas var atrisināt šīs problēmas.
Ar atslēgas parakstīšanas atslēgas izveidi 1. decembrī ICANN izveidos DNSSEC infrastruktūras pamatus. Augstākā līmeņa domēnu uzturētāji varēs parakstīt citus domēnus, par kuriem viņi ir atbildīgi. Galvenās atslēgas izveide vienkāršo drošu DNS serveru pārvaldību un izveido uzticības hierarhijas sākumu.
Šī ir svarīga mīklas daļa, kas jau kādu laiku ir pazudusi, saka Mičels. Līdz šim saknē nav bijis uzticības baņķiera, kas ir bijusi problēma.
VeriSign nav pirmais, kas izvieto DNSSEC augstākā līmeņa domēnā. Zviedrija ieviesa drošības tehnoloģiju, parakstot .se zonas atslēgu 2005. gadā. Šī gada sākumā Sabiedrisko interešu reģistrs parakstīja .org zonas atslēgu.
VeriSign plāno DNSSEC ieviešanu veikt lēni, sākot ar nelieliem izmēģinājuma projektiem, palīdzot reģistratoriem un interneta pakalpojumu sniedzējiem pārbaudīt to ieviešanu un strauji pārejot uz vērienīgākām ieviešanām, norāda uzņēmums. Tomēr galvenais ir neizjaukt nevienu lietojumprogrammu internetā, saka Waldron.
Viņš saka, ka mēs vēlamies pārliecināties, ka reģistratūras dara visu, kas viņiem jādara, lai pakalpojums būtu pieejams saviem klientiem. DNSSEC izvietošana ietekmē gandrīz katru interneta infrastruktūras komponentu. Tāpēc jūs nevēlaties to sasteigt. Visu incidentu samazināšana ir prioritāte.