如何应对来自DNSSEC的挑战

2018-06-23    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

对DNS安全的所有问题而言,域名系统安全协议(DNSSEC)是不能包治百病的。它不能够终止路过式(drive-by)攻击、拒绝服务攻击或其 他任何类型的利用社会工程学和基于顶端DNS保护服务的攻击。但它确实可以有效阻止病毒攻击和DNS骑劫,而这正是互联网电子商务的一个重大的威胁。 DNSSEC正在稳步发展,早期的采用者已经开始不断发展制订技术标准和培训资料,以用来升级系统和对设备进行适当配置以适应DNSSEC。那些属 于.gov域的联邦机构都必须在2009年年底前使用DNSSEC。而.Org是第一个应用了DNSSEC的域。截至到本周,已有6000个使用.edu 类域名的教育机构注册了DNSSEC的服务。预计在2011年.net和.com类域名也会注册DNSSEC的解析服务。在这次采访中,PIR的管理总监 (负责管理.org域名和Ram Mohan)Lance Wolak表示,他和Afilias公司的执行副总裁Ram Mohan共同分享他们在此项目上的经验,并展望了今后的DNSSEC部署的道路。 对DNS安全的所有问题而言,域名系统安全协议(DNSSEC)是不能包治百病的。它不能够终止路过式(drive-by)攻击、拒绝服务攻击或其他任何 类型的利用社会工程学和基于顶端DNS保护服务的攻击。但它确实可以有效阻止病毒攻击和DNS骑劫,而这正是互联网电子商务的一个重大的威胁。 DNSSEC正在稳步发展,早期的采用者已经开始不断发展制订技术标准和培训资料,以用来升级系统和对设备进行适当配置以适应DNSSEC。那些属 于.gov域的联邦机构都必须在2009年年底前使用DNSSEC。而.Org是第一个应用了DNSSEC的域。截至到本周,已有6000个使用.edu 类域名的教育机构注册了DNSSEC的服务。预计在2011年.net和.com类域名也会注册DNSSEC的解析服务。在这次采访中,PIR的管理总监 (负责管理.org域名和Ram Mohan)Lance Wolak表示,他和Afilias公司的执行副总裁Ram Mohan共同分享他们在此项目上的经验,并展望了今后的DNSSEC部署的道路。

问:.org是第一个登录到DNSSEC的顶级域名。该项目是从什么时候开始的?为什么.org会成为第一个?

Lance Wolak:我们于6月2日成功的在.gov域实施DNSSEC,这是我们在实施中迈出的第一步,也是DNSSEC测试阶段的开端,.Gov最近也开始部 署DNSSEC。虽然.Gov和.org属于通用顶级域名(GTLD),但它们却是受到高度限制的GTLD。作为首个开放式的GTLD,.org正处于蓬 勃发展中。1050万个已注册的域名对于通用顶级域这个领域来说,这个数字实在是一个重要的里程碑。

Ram Mohan:对于全球超过25个地点的.org类域名的解析服务器来说,都必须有效地回应来自任何地方符合DNSSEC规范的解析请求,同时还要对请求进 行通畅的响应。此外,.org还会在.org之下的空间加入其他域名。我们需要确保这些工作能够顺利的进行,而且我们已经开始开发一个程序,该程序能够确 保处理域名的事务不会受到影响。我们也需要确保能够与今天操作域名一样,达到顺畅地从一个注册商的域名转到另一种域名的目的。

问:Afilias已经提供了.gov的援助?

Mohan:有人要求我们提供一些专业的意见,以及共享自己与美国政府合作的经验。为此我们将提供一些具体的意见,这些意见来自于我们委员会里的专 家,以及我们同公共注册部门的合作中实施.org所积累的专业技术知识。需要学习的东西很多:例如,我们了解到,NSEC3数据是非常好的顶级域名基础, 因为你不愿看见不明身分的人士提取你所有的文件,并对这些文件进行恶意的操作。我们还了解到,实施DNSSEC是以付出DNS查询和响应时间性能的降低为 代价的,因为数据包比原来要大得多。所以,我们建议在提供域名解析的根(root)服务器中,改用NSEC代替NSEC3作为,因为大家都知道这个根服务 器。他们也知道所有根服务器服务的顶级域名。 NSEC3增加了额外的加密文件校验操作(hash),使得你不能真正猜测出下一个条目的区域文件,并且不能为任何目的而无视任何法律约束或协议地使用 它。但在根区域,大家都知道这只会包含国家代码(如cn,jp)和其他顶级域名。提高这个已经具有很好的加密标准的做法是没有额外价值的。

问:NSEC和NSEC3是否会增加带宽的需求呢?

Mohan:的确是这样,但有一个显著性差异,这个差异仅仅是因为NSEC3增加了额外的关于NSEC顶层的hash算法。和NSEC相 比,NSEC3对带宽的要求更高一些。我们在自己的实验室测试中发现,NSEC增加了约5%的查询时正常响应负荷。但我们发现NSEC3则达到了15%。 不同的人可能会有不同的看法,15%的可能会是一个很大的数字。在我们的实际观测中,我们得到了部署DNSSEC的.org类域名的测试结果,并且真正看 到了传输控制协议(TCP)查询的显著增加,超过了一个用户数据报协议(UDP)数据包的大小。这与我们的预期基本相符,这是由于某些DNS解析服务器在 配置上存在缺陷。而在NSEC3下,我们看到,TCP的流量相比于UDP通信增加了600倍。对于解析.org的域名解析服务器来说,这的确有些应付不过 来。而作为测试结果而言,这其实与NSEC没有多大的区别。为此我们的已经给美国政府提出了一些意见,要小心地分配顶级的域名解析服务器,具体来说就是满 足NSEC3与NSEC的较量的各自需求。

问:如何进行一次DNSSEC部署的测试?你怎么来进行测试呢?

Mohan:当你拥有自己域名的时候,一个比较大的问题是,部署DNSSEC并不方便。这不容易理解,因为还没有很好地描述DNSSEC的意义,而 网络供应商的那些更容易理解的DNSSEC计划还没有付诸实施。在我们的测试和部署的规划中,我们所做的是编制手册和具体的培训计划,目的是允许一个域名 所有者可以简单地按一下按钮,就能使用DNSSEC。字面上来讲只是点击一个按钮,但在注册端后台里实际有一个脚本在运行,域名的关键字(key)被加 载,并且立即传播它。为了确保这种单点击能够正确实现DNSSEC的无缝部署,我们还计划做一个大的、有足够规模的测试。该测试即将在今年秋天举行。

问:对于.gov网站而言,部署DNSSEC似乎会更容易些。真是这样吗?

Mohan:我认为这个问题要从两个方面来看。第一,你如何确定你的域名注册级别。在你注册级别中,.gov域是一个较小的区域,它们对谁能得到一 个.gov以及谁将使用这个.gov域名的地步有更多的控制权。但是,当涉及到网络服务提供商和互联网服务提供商(ISP)时,每个人都将面对同等难度的 问题。即,他们都必须确保他们的DNS解析器是以适当的方式发送和转发处理一个DNSSEC的要求。第二,这些网络服务供应商和互联网供应商还必须知道如 何处理一个域名被撤销的情况。现在的DNS是完全不安全的。你可以通过它驾驭Mac这个“大卡车”,而我们正在做的事就是DNS中增加这个卡车的锁和钥 匙,但在DNS解析端的人开始学习如何改变自己的程序和方法,这样即使某个钥匙发生了改变,也可以有新的钥匙能够快速准确的添加到自己的域名解析服务器 中。

问:现在关键字的管理问题仍未得到解决?

Mohan:是的。在域名注册的级别上,虽然我们已经对关键字的管理掌握得炉火纯青了,但在网络服务层次上,某些方面仍然存在些许问题没有解决。

问:采用何种方法来解决这个问题呢?

Mohan: PIR已开始与网络注册安全组(RISG)展开了一项不错的计划。我们的系统管理员和网络工程师已经着手这件事,他们知道如何才能做到这一点。但是,如果 他们正在运行着BIND,那么必须先转到DNSSEC的决议。首先,DNSSEC能理解和执行配置的更改。其次,当缺乏足够的培训时,没有民间社会组织或 IT主管会讨论是否有必要花50万美元为整个基础设施购买一台新的路由器,或者是否有必要将针对带宽的基础设施从T1升级到一个T3水平。事实上,除了这 些实际情况以外,人们还有很多不必要的恐惧、不安和疑虑。我们正在试图让事实说话,它将不会消耗更多的带宽,或要求用户进行一个较大的硬件升级(事实上, 一般而言,它没有任何硬件升级),而在大多数情况下,它只是一个配置更改或软件升级。

问:你们每隔多久会不得不淘汰或者更换设备呢?

Mohan:关于这个问题,我们已经有了很多经验。我也与瑞典的朋友们谈过这个问题。瑞典是世界上第一个部署DNSSEC的国家,在域名的注册级别 上没有升级需要,而在注册级别也确实没做什么重大的升级,只是做了一些寻常的升级和首要的替代程序。同样,对于ISP来说也不需要升级。但是,如果一些地 方出现了问题,那么我预计可能有升级的需要,比如家庭路由器。那些在2003年以前购入的家庭老式路由器虽然能够支持DNS协议,并对DNS请求进行解 析,但在很多情况下这种路由器必须进行更换,从而支持现在的网络要求。当然,话又说回来,我们还没有看到任何超出家庭承受能力的巨大升级需要。

标签: dns DNS安全 dns查询 dns解析 isp 安全 代码 电子商务 顶级域名 服务器 根服务器 互联网 互联网电子商务 互联网服务 脚本 通信 网络 域名

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:杀软不再重要 沙盒将统治桌面安全?

下一篇:多元化报表引领企业安全管理新风尚