Rząd USA chce bezpiecznego systemu DNS
Rząd Stanów Zjednoczonych poszukuje rozwiązań zmierzających do takiego zmodyfikowania systemu DNS (Domain Name System), aby był on odporny na działania włamywaczy.
Na najwyższym poziomie systemu DNS (root) znajdują się wpisy, które informują zgłaszających się do niego klientów, gdzie mogą znaleźć adresy IP komputerów zarejestrowanych w poszczególnych domenach (takich jak na przykład .pl). System DNS bada wtedy podaną nazwę witryny (np. www.idg.pl) i zwraca klientowi adres IP tej witryny.
Włamywacze potrafią niestety przejmować kontrolę nad systemem DNS, w wyniku czego klient otrzymuje inny, podstawiony adres IP. Efekt jest taki, że użytkownik łączy się nie z witryną IDG, ale z zupełnie innym serwerem WWW, zawierającym np. szkodliwy kod.
Jeden z najpoważniejszych ataków na system DNS miał miejsce w lipcu br. Jego odkrywcą był Dan Kaminsky (patrz tutaj), specjalista od spraw bezpieczeństwa. Uważa się, że prawie wszystkie serwery DNS zawierają dziury, które można wykorzystywać do przejmowania kontroli nad systemem DNS. Specjaliści apelują od lat o wprowadzenie rozwiązania podobnego do DNSSEC. Jednak póki co, systemu takiego nie udało się wdrożyć.
Rząd USA zapowiedział, że wykorzysta technologię DNSSEC do ochrony swojej domeny .gov. Inni operatorzy ccTLDs (country-code Top-Level Domains), sprawujący pieczę nad narodowymi domenami - w Szwecji (.se), Brazylii (.br), Puerto Rico (.pr) i w Bułgarii (.bg) - stosują już technologię DNSSEC. Podobne zamiary ma operator TLD zarządzający domeną .org.
System DNSSEC będzie jednak chronić skutecznie cały system DNS dopiero wtedy, gdy zmiany do oprogramowania zarządzającego w internecie nazwami hostów i adresami IP wprowadzą wszystkie instytucje sprawujące pieczę nad poszczególnymi elementami systemu DNS (oraz klienci), co nie jest takie proste.
Komentarze (3)
@Gościnny - zakładając nawet, że miałbyś rację (a nie masz, jak to już f zauważył - public-root.com/ root-server-locations.htm, usunąć spację), to co niby by to miało dać? 300 lat temu atakujący faktycznie musiałby pokonać wiele wyzwań podczas rocznej wyprawy konno-morskiej mającej na celu zaatakowanie root-servera w Singapurze, ale dzisiaj? Tych 15ms więcej chyba raczej nie stanowi problemu?
@Gościnny Bzdury. Większość (jeśli nie wszystkie) root-serwery są rozlokowane i dublowane na wielu kontynentach.
Powinni zacząć od rozlokowania root-serwerów na całym świecie. Z nieznanego mi powodu USA nie chcą dopuścić żeby część root-serwerów wypuścić poza kontynent.
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- IPv6: internetowego końca świata w 2012 nie będzie
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Narzędzia dla administratorów sieci
- Co powinien wiedzieć każdy specjalista IT?
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...