DNSSEC五項須知:路由成辦公網(wǎng)安全新瓶頸

責任編輯:企業(yè)網(wǎng)

2010-11-25 09:32:32

摘自:51CTO

IETF(互聯(lián)網(wǎng)工程任務組)從 1997 年已開始尋找方法來防止上述“錯誤指向”的發(fā)生。他們提出的解決方案就是 DNSSEC(Domain Name System Security Extensions,既域名系統(tǒng)...

DNSSEC 正在慢慢出籠,但是,這對用戶意味著什么?我們現(xiàn)有的設備是否使用它?目前還沒有具體的相關信息公布,不過本文試圖解決你的一些疑惑。

互聯(lián)網(wǎng)離不開DNS。雖然 DNS 可能不會崩潰,但它顯式的信任機制很明顯是一個糟糕的注意。一些心懷鬼胎的人已經(jīng)找到了一種稱為“DNS 劫持”的方法,可利用這種信任對用戶造成損害。如果你覺得這種說法很難理解,那下面這個例子會讓你明白。

你需要向多個賬號轉賬,點擊銀行書簽,接著在瀏覽器中就會打開這個銀行網(wǎng)站。你正常地登錄,但是網(wǎng)站的反應有些不正常。這時,你應該做什么呢?

現(xiàn)在,提出一個值得認真對待的問題:“你怎么知道那個網(wǎng)站真的就是你想要的銀行網(wǎng)站呢?”

目前,還沒有百分百的確認方式,那些壞蛋喜歡的就是這一點。他們可以修改 DNS 信息,將瀏覽器中網(wǎng)頁指向一個惡意網(wǎng)站,這個網(wǎng)站看起來和你想要訪問的網(wǎng)站一模一樣。還不明白嗎?我們會登錄,輸入用戶名和密碼。結果:壞人通過欺騙的手段獲得了我們的信任。

DNSSEC

IETF(互聯(lián)網(wǎng)工程任務組)從 1997 年已開始尋找方法, 來防止上述“錯誤指向”的發(fā)生。他們提出的解決方案就是 DNSSEC(Domain Name System Security Extensions,既域名系統(tǒng)安全擴展)??雌饋?,這是一個不錯的想法,至少根據(jù)介紹該系統(tǒng)的白皮書是如此。51CTO編者注:2009年11月,威瑞信(VeriSign)公司公布其已開始為.com和.net全球頂級域名(Top Level Domains, TLDs)部署DNS安全擴展協(xié)議(DNSSEC),防止互聯(lián)網(wǎng)的域名系統(tǒng)(DNS)受到“中間人”和緩存投毒攻擊。

不過,對用戶以及我們的家庭/辦公室網(wǎng)絡,DNSSEC 有什么意義?對此并沒有太多的信息。經(jīng)過一番搜索研究,我總結了以下幾點你應該了解的信息:

1. 路由器必須能夠處理什么樣的信息

路由器必須能夠處理大于正常大小的 DNS 包。原因在于新的授權規(guī)定,DNS 當前所用的是 512 字節(jié)的 UDP 包,DNSSEC 響應的大小大于 512 字節(jié)。這會帶來一些問題。某些路由器的程序設定會拒絕大于 512 字節(jié)的 DNS 包。

另外,路由器還必須能夠處理已轉換為 TCP/IP 的DNSSEC 查詢。如果較大的 UDP 包存在問題,DNS 服務器可按照指令使用 TCP/IP 發(fā)送 DNSSEC 響應。如果路由器無法提供這種功能,DNS 查詢將會失敗。

最后,路由器必須能夠正確地處理 DNSKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量驗證需要這些新的 DNS 來源記錄。邊界路由器必須能夠處理這些記錄,否則信任鏈條將會斷掉。

2. 確認路由器是否兼容 DNSSEC

有關這個問題,我在較新的資料中沒有找到答案。不過,在 2008 年的一份報告,找到了一些有用的信息。這份報告的名字是:《DNSSEC 對寬帶路由器和防火墻的影響》(DNSSEC Impact on Broadband Routers and Firewalls)。這份報告的研究團隊做了一些細致的研究,對 24 款個人和公司所用的路由器進行了測試。你可以在這份報告中查看自己的路由器的是否兼容。如果沒有找到有關信息,你可以咨詢路由器的制造商。

3. 其他一些 DNS 安全測試

以下兩個測試與 DNSSEC 沒有直接關聯(lián),不過,在上文那份白皮書的結果中,提供了這兩項測試:

拒絕非初始 DNS 查詢

隨機分配 DNS 查詢端口

這兩項測試都非常重要,可消除兩種入侵風險。通常,這些信息是不提供的,建議你打電話向路由器制造商咨詢。

4. 固件升級

升級網(wǎng)關設備上固件永遠都沒有錯,而且現(xiàn)在比以往更為重要。如果你的路由器無法通過 2008 年的 DNSSEC 測試,試著將固件升級為最新版本,很可能可以解決問題。

5. 上游互聯(lián)網(wǎng)提供商是否做好準備

這個問題也許并不是什么問題,不過,問問總不會有什么損失。我會詢問的兩個問題:

如何保護 DNSSEC 驗證密鑰?

如果無法正常運行,應該和誰聯(lián)系?

Firefox 用戶提示

DNSSEC Validator 是一款 Mozilla 瀏覽器擴展,可檢查 DNSSEC 是否存在以及相關驗證。地址欄中不同顏色的關鍵字表示 DNNSEC 下某個特定域名的狀態(tài)。

最后的一點想法

DNSSEC 具有一種潛力,能夠極大地增加網(wǎng)絡的安全性,但是前提是必須對其進行正確的部署。這意味著我們的路由器必須成為信任鏈條的一部分。最后,我還要提供一點想法:如果路由器無法正確地處理 DNSSEC 包,用戶的在線體驗將會顯著的下降。

 

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號