• Категории
  • Подписка
  • Разместить статью
29/04/10 33 5165 Новости ИТ безопасности
-

Переворот в системе доменных имен

DNSSEC_protocol_securos.org.ua

Еще где-то в конце уходящего 2009 года, краем уха я слышал, что в мире интернета произойдут кардинальные изменения, связанные с новой системой доменных имен.

5 мая 2010 года обещает быть знаменательным в истории ИТ-технологий – система доменных имен перейдет на более безопасный протокол DNSSEC. Однако это обновление может повлечь за собой утрату доступа к Интернету для некоторой части пользователей. По всей вероятности, для подавляющего большинства интернетчиков обновление пройдет гладко, однако расслабляться раньше времени не следует.

Отличие нового протокола состоит в том, что к обычным DNS-запросам будет добавляться цифровая подпись, что позволит уменьшить риск стать жертвой атак вроде так называемого «отравления кэша DNS».

В первой половине 2008 года экспертами по безопасности было обнаружено, что в результате определенных манипуляций злоумышленник может подменить информацию, сохраненную в кэше DNS-сервера. К примеру, заменив IP-адрес сервера, соответствующего доменному имени gmail.com, пользователей почтовой службы можно перенаправить на фишинговый сайт и собрать богатый урожай логинов и паролей.

Общими усилиями компаний Microsoft, Sun и Cisco к середине лета были выпущены исправления и эту дыру кое-как залатали. Нынешнее обновление протокола призвано решить эту проблему более радикальным образом.

События будут развиваться следующим образом: сперва новый протокол будет внедрен на 13 корневых серверах Интернета. Это может привести к тому, что все пользователи с несовместимым оборудованием (либо клиенты провайдеров с таким оборудованием) потеряют доступ к некоторым сайтам и сервисам.

Почему так? Причина состоит в том, что обмен информацией с DNS-серверами происходит по протоколу UDP, причем, совсем небольшими пакетами — размером до 512 байт. Пакеты же DNSSEC намного больше, и если сетевое оборудование сконфигурировано только для пакетов малого размера, проблем не избежать.

Есть опасения, что трудности, в первую очередь, могут возникнуть на предприятиях с разветвленной инфраструктурой, так как существует масса файерволов и прочего промежуточного оборудования, которое настраивалось лишь в расчете на UDP-пакеты размером до 512 байт.

В ряде случаев, как отмечают эксперты, подобные устройства будут перенаправлять соответствующий трафик по протоколу TCP, что приведет к увеличению потребления трафика и аппаратных ресурсов.

PS: Это Вам не детские электромобили продавать, хотя для этого существуют интернет-магазины, которые в данной ситуации, как и все, тоже почувствуют неудобства!..:]

Чтобы оценить вероятность возникновения проблем, вы можете скачать специальное java-приложение (см. labs.ripe.net). Указав адрес своего DNS-сервера и запустив проверку на размер пакета, вы узнаете, стоит ли вам впадать в панику уже сейчас или можно повременить до 5 мая.


33 комментария на «“Переворот в системе доменных имен”»

  1. Впервые об этом слышу. Спасибо за инфу.
    Хотя 5 мая уже позади…

Добавить комментарий

Яндекс.Метрика