A nyílt forráskódú projekt célja a biztonságos DNS könnyebbé tétele

A fejlesztők egy csoportja kiadott nyílt forráskódú szoftvert, amely lehetővé teszi a rendszergazdák számára, hogy az internet címzési rendszere kevésbé sebezhető a hackerek számára.

Az OpenDNSSEC nevű szoftver számos feladatot automatizál amely a DNSSEC (Domain Name System Security Extensions) megvalósításával foglalkozik, amely egy olyan protokollkészlet, amely lehetővé teszi a DNS (Domain Name System) nyilvántartását, hogy digitális aláírást hordozhasson, mondta John A. Dickinson, a projekten dolgozó DNS-tanácsadó.

A DNS-rekordok lehetővé teszik, hogy a webhelyek le legyenek fordítva egy névről egy IP (Internet Protocol) címre, amelyet egy számítógép megkérdezhet. De a DNS-rendszerben számos hibája van az eredeti tervétől, amelyet a hackerek egyre inkább célozzanak.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A DNS-szerver meghamisításával lehetséges egy a felhasználó írja be a helyes weboldal nevét, de irányítson egy csaló webhelyre, egyfajta támadásnak nevezik a gyorsítótár mérgezést. Ez egyike azon aggodalmaknak, amelyek az internetszolgáltatók és más DNS-kiszolgálók számára mozgást indítanak a DNSSEC használatához.

A DNSSEC-sel a DNS rekordok kriptográfiai aláírással vannak ellátva, és az aláírásokat ellenőrizték annak biztosítása érdekében, hogy az információk pontosak. A DNSSEC elfogadását azonban mind a végrehajtás bonyolultsága, mind pedig az egyszerűbb eszközök hiánya visszatartja. "

A DNS rekordok aláírásához a DNSSEC nyilvános kulcsú titkosítást használ, ahol az aláírásokat nyilvános és privát kulcs segítségével hozza létre és zónaszinten valósul meg. A probléma egy része az ilyen kulcsok kezelése, hiszen ezeket rendszeresen frissíteni kell a magas szintű biztonság fenntartása érdekében, mondta Dickinson. A kulcsok kezelésének hibája súlyos problémákat okozhat, ami az adminisztrátorok egyik kihívása.

Az OpenDNSSEC lehetővé teszi a rendszergazdák számára, hogy szabályokat dolgozzanak ki, majd automatizálják a kulcsok kezelését és aláírják a nyilvántartásokat, mondta Dickinson. A folyamat manapság több kézi beavatkozást is tartalmaz, ami növeli a hibalehetőségeket.

OpenDNSSEC "gondoskodik arról, hogy a zóna folyamatosan és megfelelően legyen aláírva a szabályzatnak megfelelően" - mondta Dickinson. "Mindez teljesen automatizált, hogy a rendszergazda a DNS-kezelésre koncentrálhasson, és hagyja, hogy a biztonsági háttér a háttérben működjön."

A szoftver kulcsfontosságú tárolási funkcióval is rendelkezik, amely lehetővé teszi a rendszergazdák számára a billentyűket egy hardver vagy biztonsági szoftver modul, egy további védelmi réteg, amely biztosítja, hogy a kulcsok ne kerüljenek a rossz kezekbe, mondta Dickinson.

Az OpenDNSSEC szoftver letölthető, bár technikai előnézetként kínálják, és még nem használhatók a termelés, mondta Dickinson. A fejlesztők visszajelzést kapnak az eszközről és kiadják a továbbfejlesztett verziókat a közeljövőben.

Az idei év elejétől kezdve a legmagasabb szintű domainek, mint például a ".com" végződésűek, nem titkosítottak alá, a DNS gyökér zónájában a mesterlista, ahol a számítógépek megkereshetik egy adott tartományban lévő címet. A VeriSign, amely a ".com" regisztere, februárban fejezte be, a DNSSEC-t a legmagasabb szintű domainek között fogja végrehajtani, beleértve a.com-t 2011-ben.

Más szervezetek is a DNSSEC használatával haladnak. Az Egyesült Államok kormánya elkötelezte magát amellett, hogy a DNSSEC-t ".gov" domainjéhez használja. A Svédország (.se), Brazília (.br), Puerto Rico (.pr) és Bulgária (.bg) egyéb ccTLD-jai (országkódos felső szintű domainek) szintén a DNSSEC-et használják.

A DNSSEC-et inkább a korábbi DNS sérülékenységek miatt kell használni, mint később. Az egyik legsúlyosabb kérdést a biztonsági szakértő, Dan Kaminsky 2008 júliusában mutatta be. Megmutatta, hogy a DNS-kiszolgálókat gyorsan fel lehet tüntetni a pontatlan információkkal, amelyeket számos e-mail rendszerre, szoftverfrissítési rendszerre és jelszóra helyreállítási rendszerek a webhelyeken.

Míg ideiglenes javításokat alkalmaztak, ez nem hosszú távú megoldás, hiszen csak egy hosszabb időt vesz igénybe a támadás, egy fehér könyv, amelyet az idei évben a SurfNet, egy holland kutatási és oktatási szervezet publikált. A SurfNet az OpenDNSSEC támogatói közé tartozik, amely magában foglalja a ".uk" regiszter Nominet, NLnet Labs és SIDN, a ".nl" registry.

Hacsak a DNSSEC nem használatos, a "Domain Name System" nem biztos, hogy a lekérdezésekre adott válaszok valódiak maradnak - marad ", mondta a papír