Проблемы IP адресов
Это интересно.... Существующая система разрешения доменных имен (DNS) ненадежна со времен создания протокола DNS В дополнение к мало защищенной доменной системе DNS, которая все чаще становится объектом атак злоумышленников, желающих мошенническим путем получить различные данные пользователя, в домене .RU введен зарекомендовавший себя на западе протокол DNSSEC.
В домене .RU пока только регистратор R01 поддерживает регистрацию доменов с их последующим защищенным делегированием.
Всем известно, что именно система DNS отвечает за то, с каким именно физическим сервером, подключенным к сети, соединится пользователь при запросе конкретного ресурса по его имени.
Увы, создатели DNS не учли ряд таких же человеческих факторов, как наличие среди людей и злоумышленников, использующих сеть в противоправных целях. Поэтому в существующей системе DNS есть ряд уязвимостей, позволяющих злоумышленникам получать доступ к секретной информации пользователей Интернета, от номеров кредитных карточек и e-mail переписки до охраняемых государством секретов.
При использовании уязвимостей протокола DNS при запросе ресурса пользователь попадает не на запрошенный сервер, а на сервер злоумышленника. И пользовательская система, и сам пользователь ничего с этим не может сделать, а зачастую даже не в состоянии отследить сам тот факт, что обращение идет через сервер злоумышленника.
Важно заметить, что уязвимым к сожалению является сам протокол, а не конкретные программы, его реализующие. Неуязвимых решений на базе старого протокола нет, все мы находимся под угрозой, и ничего не можем с этим поделать.
Для устранения уязвимостей DNS был разработан протокол DNSSEC, переход на который и происходит сейчас во всем мире.
Этот протокол, используя алгоритмы цифровой подписи, обеспечивает достоверность данных системы DNS, позволяет проверить достоверность полученного от системы ответа.
Теперь пользователю мало получить физический доступ к файлам с описанием домена системы DNS, необходимо так же обладать закрытым ключем цифровой подписи от этого домена.
При простом изменении файла измененные данные будут отброшены как недостоверные.
Так же отброшены будут данные злоумышленника при попытке подставить динамический запрос на обновление домена от имени другой системы.
Вся коммуникация между первичным и вторичным сервером также полностью шифруется, и без знания ключа шифрования не может быть искажена.
В случае же искажения информации на вторичном сервере искаженная информация будет отброшена как недостоверная, так как будет нарушена их цифровая подпись.
Кеширующие сервера провайдера (организации), а в идеале и конечные клиенты (резолверы) проверяют достоверность данных посредством сверки цифровых подписей полученного ответа.
Как система DNS позволяет иерархично делегировать домены, так же система DNSSEC позволяет также иерархично делегировать доверие.
То есть по подписанному ключем домена .RU ключу домена DNSSEC.RU можно проверить является ли подпись ответа, содержащего адрес ресурса WWW.DNSSEC.RU, аутентичной.
Сейчас практически все популярное программное обеспечение поддерживает протокол DNSSEC.
Более подробно о протоколе, программном обеспечении и доменах, уже поддерживающих DNSSEC, можно прочитать на сайте портала, посвеященному DNSSEC: WWW.DNSSEC.RU
Настройка кеширующего DNS провайдера или организации дла поддержки DNSSEC как правило не вызывает трудностей. Для этого нужно лишь включить поддержку этого протокола и загрузить список ключей в конфигурационный файл BIND'а.
Корневые DNS-сервера все еще не подписаны DNSSEC'ом, существуют лишь пилот-проекты, содержащие подписанные копии корневых доменов. Поэтому Вам придется прописывать ключи каждого домена верхнего уровня по отдельности.
Сейчас поддерживают DNSSEC (и имеют свои ключи) домены .NL, .SE, .MX, ряд доменов второго уровня .UK, популярные в мире домены .COM, .NET, .ORG, а так же домены, отвечающие за обратное преобразование (из IP в имя сервера) IP-адресов региона RIPE. Существует и иной механизм проверки правильности ответа DNS, именуемый look-aside.
Эта проверка осуществляется вне иерархии доменов, администратор любого домена может добавить информацию о ней в эту систему DLV. Этот механизм также поддерживается в BIND 9.
Главная
