【51CTO.com 9月6日外电头条】DNSSEC 正在慢慢出笼,但是,这对用户意味着什么?我们现有的设备是否使用它?目前还没有具体的相关信息公布,不过本文试图解决你的一些疑惑。
互联网离不开DNS。虽然 DNS 可能不会崩溃,但它显式的信任机制很明显是一个糟糕的注意。一些心怀鬼胎的人已经找到了一种称为“DNS 劫持”的方法,可利用这种信任对用户造成损害。如果你觉得这种说法很难理解,那下面这个例子会让你明白。
你需要向多个账号转账,点击银行书签,接着在浏览器中就会打开这个银行网站。你正常地登录,但是网站的反应有些不正常。这时,你应该做什么呢?
现在,提出一个值得认真对待的问题:“你怎么知道那个网站真的就是你想要的银行网站呢?”
目前,还没有百分百的确认方式,那些坏蛋喜欢的就是这一点。他们可以修改 DNS 信息,将浏览器中网页指向一个恶意网站,这个网站看起来和你想要访问的网站一模一样。还不明白吗?我们会登录,输入用户名和密码。结果:坏人通过欺骗的手段获得了我们的信任。
DNSSEC
IETF(互联网工程任务组)从 1997 年已开始寻找方法, 来防止上述“错误指向”的发生。他们提出的解决方案就是 DNSSEC(Domain Name System Security Extensions,既域名系统安全扩展)。看起来,这是一个不错的想法,至少根据介绍该系统的白皮书是如此。51CTO编者注:2009年11月,威瑞信(VeriSign)公司公布其已开始为.com和.net全球顶级域名(Top Level Domains, TLDs)部署DNS安全扩展协议(DNSSEC),防止互联网的域名系统(DNS)受到“中间人”和缓存投毒攻击。
不过,对用户以及我们的家庭/办公室网络,DNSSEC 有什么意义?对此并没有太多的信息。经过一番搜索研究,我总结了以下几点你应该了解的信息:
1. 路由器必须能够处理什么样的信息
路由器必须能够处理大于正常大小的 DNS 包。原因在于新的授权规定,DNS 当前所用的是 512 字节的 UDP 包,DNSSEC 响应的大小大于 512 字节。这会带来一些问题。某些路由器的程序设定会拒绝大于 512 字节的 DNS 包。
另外,路由器还必须能够处理已转换为 TCP/IP 的DNSSEC 查询。如果较大的 UDP 包存在问题,DNS 服务器可按照指令使用 TCP/IP 发送 DNSSEC 响应。如果路由器无法提供这种功能,DNS 查询将会失败。
最后,路由器必须能够正确地处理 DNSKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量验证需要这些新的 DNS 来源记录。边界路由器必须能够处理这些记录,否则信任链条将会断掉。
2. 确认路由器是否兼容 DNSSEC
有关这个问题,我在较新的资料中没有找到答案。不过,在 2008 年的一份报告,找到了一些有用的信息。这份报告的名字是:《DNSSEC 对宽带路由器和防火墙的影响》(DNSSEC Impact on Broadband Routers and Firewalls)。这份报告的研究团队做了一些细致的研究,对 24 款个人和公司所用的路由器进行了测试。你可以在这份报告中查看自己的路由器的是否兼容。如果没有找到有关信息,你可以咨询路由器的制造商。
3. 其他一些 DNS 安全测试
以下两个测试与 DNSSEC 没有直接关联,不过,在上文那份白皮书的结果中,提供了这两项测试:
拒绝非初始 DNS 查询
随机分配 DNS 查询端口
这两项测试都非常重要,可消除两种入侵风险。通常,这些信息是不提供的,建议你打电话向路由器制造商咨询。
4. 固件升级
升级网关设备上固件永远都没有错,而且现在比以往更为重要。如果你的路由器无法通过 2008 年的 DNSSEC 测试,试着将固件升级为最新版本,很可能可以解决问题。
5. 上游互联网提供商是否做好准备
这个问题也许并不是什么问题,不过,问问总不会有什么损失。我会询问的两个问题:
如何保护 DNSSEC 验证密钥?
如果无法正常运行,应该和谁联系?
Firefox 用户提示
DNSSEC Validator 是一款 Mozilla 浏览器扩展,可检查 DNSSEC 是否存在以及相关验证。地址栏中不同颜色的关键字表示 DNNSEC 下某个特定域名的状态。
最后的一点想法
DNSSEC 具有一种潜力,能够极大地增加网络的安全性,但是前提是必须对其进行正确的部署。这意味着我们的路由器必须成为信任链条的一部分。最后,我还要提供一点想法:如果路由器无法正确地处理 DNSSEC 包,用户的在线体验将会显著的下降。
原文链接:http://blogs.techrepublic.com.com/five-tips/?p=277
【51CTO.com独家译稿,非经授权谢绝转载,合作媒体转载请注明文章出处及作者!】