Проект с открытым исходным кодом нацелен на упрощение безопасного DNS

Группа разработчиков выпустила программное обеспечение с открытым исходным кодом, которое дает администраторам возможность сделать систему адресации Интернета менее уязвимой для хакеров.

Программное обеспечение под названием OpenDNSSEC автоматизирует многие задачи связанный с внедрением DNSSEC (расширения безопасности системы доменных имен), который представляет собой набор протоколов, который позволяет записывать записи DNS (Domain Name System) на цифровую подпись, сказал Джон А. Дикинсон, консультант по DNS, работающий над проектом.

Записи DNS позволяют переводить веб-сайты с имени на IP-адрес (Интернет-протокол), который может быть запрошен компьютером. Но система DNS имеет несколько недостатков, исходящих из своего первоначального дизайна, которые все чаще становятся жертвами хакеров.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

При вмешательстве в DNS-сервер можно пользователь вводит правильное имя веб-сайта, но должен быть направлен на мошеннический сайт, тип атаки, называемый отравлением кэша. Это одна из многих проблем, которая побуждает интернет-провайдеров и других лиц, работающих DNS-серверами, использовать DNSSEC.

С DNSSEC записи DNS криптографически подписаны, и эти подписи проверяются для обеспечения точной информации. Однако принятие DNSSEC было сдержано как сложностью реализации, так и отсутствием более простых инструментов, сказал Дикинсон.

Чтобы подписать записи DNS, DNSSEC использует криптографию с открытым ключом, где подписи создаются с использованием открытого и закрытого ключа и осуществляется на уровне зоны. Часть проблемы заключается в управлении этими ключами, поскольку они должны периодически обновляться, чтобы поддерживать высокий уровень безопасности, сказал Дикинсон. Ошибка при управлении этими ключами может вызвать серьезные проблемы, что является одной из проблем для администраторов.

OpenDNSSEC позволяет администраторам создавать политики, а затем автоматизировать управление ключами и подписывать записи, сказал Дикинсон. Теперь процесс включает в себя более ручное вмешательство, что увеличивает вероятность ошибок.

OpenDNSSEC «заботится о том, чтобы эта зона была правильно и правильно подписана в соответствии с политикой», - сказал Дикинсон. «Все это полностью автоматизировано, чтобы администратор мог сконцентрироваться на работе с DNS и позволить безопасности работать в фоновом режиме».

В программном обеспечении также есть функция хранения ключей, которая позволяет администраторам хранить ключи в программном или аппаратном обеспечении, дополнительный уровень защиты, который гарантирует, что ключи не попадают в неправильные руки, сказал Дикинсон.

Программное обеспечение OpenDNSSEC доступно для загрузки, хотя оно предлагается как предварительный просмотр технологии и не должно использоваться в производства, сказал Дикинсон.

По состоянию на начало этого года большинство доменов верхнего уровня, таких как те, которые заканчиваются на «.com», не были криптографически подписаны, и ни одна из них не была в корневой зоне DNS, главный список того, где компьютеры могут искать адрес в определенном домене. VeriSign, который является реестром для «.com», сказал, что в феврале он будет внедрять DNSSEC для доменов верхнего уровня, включая.com, к 2011 году.

Другие организации также стремятся использовать DNSSEC. Правительство США обязалось использовать DNSSEC для своего домена «.gov». Другие доменные имена ccTLD (страны верхнего уровня) в Швеции (.se), Бразилия (.br), Пуэрто-Рико (.pr) и Болгария (.bg) также используют DNSSEC.

Эксперты по безопасности утверждают, что DNSSEC следует использовать скорее, чем позже, из-за существующих уязвимостей в DNS. Один из наиболее серьезных был обнаружен исследователем безопасности Дэном Каминьским в июле 2008 года. Он показал, что DNS-серверы могут быть быстро заполнены неточной информацией, которая может быть использована для различных атак на системы электронной почты, системы обновления программного обеспечения и пароль системы восстановления на веб-сайтах.

В то время как временные исправления были развернуты, это не долгосрочное решение, так как для выполнения атаки требуется больше времени, согласно официальной публикации, опубликованной в этом году в SurfNet, голландской исследовательской и образовательной организации. SurfNet входит в число сторонников OpenDNSSEC, в который также входят реестр «.uk» Nominet, NLnet Labs и SIDN, реестр «.nl».

Если DNSSEC не используется, «основной недостаток в системе доменных имен», не позволяет гарантировать, что ответы на запросы являются подлинными - остается, - говорится в документе.