DNSSEC協(xié)議緣何在企業(yè)部署進(jìn)展緩慢?

責(zé)任編輯:editor006

作者:Michael Heller

2015-11-25 14:13:05

摘自:TechTarget中國(guó)

DNS安全擴(kuò)展(DNSSEC)在企業(yè)的部署進(jìn)展緩慢,但專家表示,DNSSEC比現(xiàn)有的證書頒發(fā)機(jī)構(gòu)(CA)系統(tǒng)更好,企業(yè)對(duì)部署這種技術(shù)的遲疑可能是因?yàn)閷?duì)其目的的誤解。

DNS安全擴(kuò)展(DNSSEC)在企業(yè)的部署進(jìn)展緩慢,但專家表示,DNSSEC比現(xiàn)有的證書頒發(fā)機(jī)構(gòu)(CA)系統(tǒng)更好,企業(yè)對(duì)部署這種技術(shù)的遲疑可能是因?yàn)閷?duì)其目的的誤解。

DNSSEC協(xié)議可幫助域名系統(tǒng)(DNS)數(shù)據(jù)中的數(shù)字簽名來(lái)驗(yàn)證數(shù)據(jù)的來(lái)源以及檢查其在互聯(lián)網(wǎng)傳輸過(guò)程中的完整性。同時(shí),基于DNS的域名實(shí)體認(rèn)證(DANE)會(huì)通過(guò)使用DNSSEC來(lái)綁定傳輸層安全(TLS)到DNS,以確保證書來(lái)自特定的證書頒發(fā)機(jī)構(gòu)。

《The Internet for Dummies》作者兼安全專家John Levine稱,DNSSEC同時(shí)具有短期和長(zhǎng)期的優(yōu)勢(shì)。

“主要的優(yōu)點(diǎn)是,它可防止壞人偽造你的域名,讓他們無(wú)法將自己的網(wǎng)站偽造成你的網(wǎng)站,”Levine表示,“更長(zhǎng)遠(yuǎn)的優(yōu)勢(shì)是,你可以使用DNS來(lái)安全地發(fā)布各種新信息(最明顯的是TLS證書),而不是讓它們由第三方簽名。”

然而,大家對(duì)于這個(gè)協(xié)議心生恐懼,因?yàn)閾?jù)稱它會(huì)方便政府監(jiān)控?cái)?shù)據(jù)。該理論認(rèn)為,由于證書會(huì)存儲(chǔ)在DNS中,如果政府控制重要的頂級(jí)域名(TLD),他們也將會(huì)控制用于驗(yàn)證這些證書的TLS加密的密鑰。

Internet Society協(xié)會(huì)高級(jí)內(nèi)容戰(zhàn)略家Dan York稱,這種認(rèn)為DNSSEC方便政府監(jiān)控的說(shuō)法是一個(gè)謬論,因?yàn)檫@從來(lái)不是該協(xié)議的意圖。

“DNSSEC只做一件事情:保護(hù)存儲(chǔ)在DNS中信息的完整性。DNSSEC確保你從DNS獲取的域名信息正是該域名運(yùn)營(yíng)商放在DNS的相同信息,”York說(shuō)道,“它沒有做到的是保護(hù)通信的保密性,它沒有加密這些信息,因?yàn)檫@并不是它的工作目標(biāo)。DNSSEC可以確保你連接到正確的IP地址,但在你的計(jì)算機(jī)和這些IP地址之前的通信仍然可能受到監(jiān)控。”

York稱,對(duì)于政府控制大量域名的說(shuō)法也不完全正確。

“國(guó)家代碼頂級(jí)域名(ccTLD)通常由政府控制,這些都是兩個(gè)字母的域名,例如.ly和.nl,”York表示,“而大多數(shù)通用頂級(jí)域名(gTLD)都是由不同的注冊(cè)機(jī)構(gòu)控制,例如.com、.org

以及新的gTLD--.bank、.foo、.photos等,并且,這些注冊(cè)機(jī)構(gòu)幾乎都是私營(yíng)公司,其中大部分是商業(yè)公司。”

雖然很多ccTLD由政府控制,最流行的ccTLD(例如.de和.uk)并不是由德國(guó)和英國(guó)政府控制,而是由私營(yíng)公司控制。York稱,對(duì)于有些由政府控制的gTLD,用戶應(yīng)該首先檢查他們是否擔(dān)心在這些域名泄露信息,但監(jiān)控并不是政府控制的問(wèn)題。

“由于ccTLD運(yùn)營(yíng)商控制ccTLD的域名注冊(cè),他們當(dāng)然可以更改你域名的記錄,指向另一組DNS域名服務(wù)器,從而將你域名控制器交給另一個(gè)DNS運(yùn)營(yíng)商(這可能是他們自己),然后又更改DNS記錄指向另一個(gè)網(wǎng)站,”York稱,“DNSSEC在這里并不重要,因?yàn)閏cTLD運(yùn)營(yíng)商可以控制TLD中的記錄。”

根據(jù)Levin表示,這種情況幾乎不可能發(fā)生,因?yàn)樵谛湃捂溨杏腥藭?huì)注意到異常情況。

“是的,政府會(huì)侵入所有地方,但考慮到現(xiàn)在的CA系統(tǒng)已經(jīng)非常糟糕,我們沒有理由相信DNSSEC會(huì)更糟,”Levin稱,“此外,DNSSEC很難在不被發(fā)現(xiàn)的情況下受到攻擊,因?yàn)槿藗兒苷J(rèn)真看待DNS,并且有很多冗余。”

Levin說(shuō), DNSSEC也許并不完美,但與證書頒發(fā)機(jī)構(gòu)的問(wèn)題相比,DNSSEC其實(shí)更好。同時(shí),他表示可以理解為什么DNSSEC的部署進(jìn)展緩慢,因?yàn)槟壳皼]有主流Web瀏覽器可以接受使用DNSSEC的TLS。

“它非常復(fù)雜,而且工具很糟糕。我的服務(wù)器有大約300個(gè)DNS區(qū),雖然我全部在本地簽名,但簽名都會(huì)被忽略,除非更高級(jí)的DNS區(qū)使用DS(授權(quán)簽字人)記錄鏈接到我的密鑰,”Levin稱,“DNSSEC有兩種類別,被稱為NSEC和NSEC3。如果你使用NSEC,別人很容易列舉你的區(qū),即找出你的DNS區(qū)中所有的域名,這在有時(shí)候可能不方便操作。”當(dāng)使用NSEC時(shí),有關(guān)有效域名的信息被添加到針對(duì)不存在域名請(qǐng)求的DNS回復(fù)中;而在NSEC3中,這些信息會(huì)被模糊處理。

Levin稱,即使“使用被動(dòng)DNS,別人都可以非常接近你的DNS,而你無(wú)法阻止這一點(diǎn)。NSEC3解決了列舉問(wèn)題,但它讓DNSSEC變得比現(xiàn)在更加復(fù)雜,讓更新DNS區(qū)等操作變得更加困難。”

York也承認(rèn),DNSSEC協(xié)議也有問(wèn)題,包括新增的操作要求、更大的DNS數(shù)據(jù)包、缺乏保密性,并可能使系統(tǒng)更容易攻破。不過(guò),York稱,最后一個(gè)問(wèn)題可以通過(guò)很多安全技術(shù)來(lái)應(yīng)對(duì)。

“從歷史上來(lái)看,DNS服務(wù)器經(jīng)??吹骄W(wǎng)絡(luò)管理員設(shè)置的條條框框,然后通常忽視它們,因?yàn)榭赡苡绊懫溥\(yùn)行。添加DNSSEC需要對(duì)DNS服務(wù)器進(jìn)行一些額外的操作,”York稱,“由于簽名,DNSSEC會(huì)讓DNS數(shù)據(jù)包變得更大,這可能影響網(wǎng)絡(luò)流量,而緩解這個(gè)問(wèn)題的一種方法是使用具有較小密鑰的簽名。”

York表示,目前互聯(lián)網(wǎng)工程任務(wù)組的DPRIVE工作組正在開展工作以保護(hù)計(jì)算機(jī)和DNS服務(wù)器之間的連接,以確保試圖監(jiān)控你流量的人不會(huì)看到通過(guò)本地網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包中的DNS查詢。同時(shí),針對(duì)DNSSEC很多常見的問(wèn)題的解決方案正在開發(fā)中。

“DNSSEC協(xié)議的優(yōu)點(diǎn)在于,它從一開始就被設(shè)計(jì)為可以不斷發(fā)展,”York稱,“與安全問(wèn)題和安全算法一樣,該協(xié)議也可以不斷進(jìn)化。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)