Rząd USA chce bezpiecznego systemu DNS
12 października 2008 13:28
Janusz Chustecki, IDG News Service
Rząd Stanów Zjednoczonych poszukuje rozwiązań zmierzających do takiego zmodyfikowania systemu DNS (Domain Name System), aby był on odporny na działania włamywaczy.
Podstawowy pomysł polega na tym, aby wpisy znajdujące się w obszarze root systemu DNS były chronione za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych, co można realizować przy użyciu rozszerzeń bezpieczeństwa DNSSEC (Domain Name and Addressing System Security Extensions). DNSSEC to zestaw protokołów pozwalających potwierdzać autentyczność wpisów DNS, dzięki temu iż towarzyszą im cyfrowe podpisy. US Department of Commerce (Departament Handlu Stanów Zjednoczonych) rozpoczął już na ten temat dyskusję, prosząc specjalistów o składanie propozycji jak taki system powinien pracować i jak powinno się go wdrażać.
Na najwyższym poziomie systemu DNS (root) znajdują się wpisy, które informują zgłaszających się do niego klientów, gdzie mogą znaleźć adresy IP komputerów zarejestrowanych w poszczególnych domenach (takich jak na przykład .pl). System DNS bada wtedy podaną nazwę witryny (np. www.idg.pl) i zwraca klientowi adres IP tej witryny.
Włamywacze potrafią niestety przejmować kontrolę nad systemem DNS, w wyniku czego klient otrzymuje inny, podstawiony adres IP. Efekt jest taki, że użytkownik łączy się nie z witryną IDG, ale z zupełnie innym serwerem WWW, zawierającym np. szkodliwy kod.
Jeden z najpoważniejszych ataków na system DNS miał miejsce w lipcu br. Jego odkrywcą był Dan Kaminsky (patrz
tutaj), specjalista od spraw bezpieczeństwa. Uważa się, że prawie wszystkie serwery DNS zawierają dziury, które można wykorzystywać do przejmowania kontroli nad systemem DNS. Specjaliści apelują od lat o wprowadzenie rozwiązania podobnego do DNSSEC. Jednak póki co, systemu takiego nie udało się wdrożyć.
Rząd USA zapowiedział, że wykorzysta technologię DNSSEC do ochrony swojej domeny .gov. Inni operatorzy ccTLDs (country-code Top-Level Domains), sprawujący pieczę nad narodowymi domenami - w Szwecji (.se), Brazylii (.br), Puerto Rico (.pr) i w Bułgarii (.bg) - stosują już technologię DNSSEC. Podobne zamiary ma operator TLD zarządzający domeną .org.
System DNSSEC będzie jednak chronić skutecznie cały system DNS dopiero wtedy, gdy zmiany do oprogramowania zarządzającego w internecie nazwami hostów i adresami IP wprowadzą wszystkie instytucje sprawujące pieczę nad poszczególnymi elementami systemu DNS (oraz klienci), co nie jest takie proste.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
brak oceny
- IP: 217.117.128.50
- 12-10-2008, 18:47
Powinni zacząć od rozlokowania root-serwerów na całym świecie. Z nieznanego mi powodu USA nie chcą dopuścić żeby część root-serwerów wypuścić poza kontynent.
- ocena:
brak oceny
- IP: 195.150.76.3
- 13-10-2008, 07:58
@Gościnny
Bzdury. Większość (jeśli nie wszystkie) root-serwery są rozlokowane i dublowane na wielu kontynentach.
wydrukuj
wyślij do znajomego