Доменные имена

www.
.ru .com .su .tv
.net .cn .рф Все
 
...

Регистрируем Домены / Статьи

DNSSEC: домены на доверии

Описание технологии DNSSEC, расширяющей возможности системы доменных имен DNS

Разработанная в начале 80-х годов прошлого века доменная система имён Интернета (DNS) можно сказать лишена каких бы то ни было механизмов обеспечения информационной безопасности. Вся современная DNS работает на доверии сторон, пользующихся системой, друг другу. Вероятно, два десятка лет назад доверие в качестве фундамента системы ещё как-то можно было оправдать. В современном же Интернете, насыщенном разнообразнейшими хакерскими группировками, вооружёнными богатым инструментарием из  всевозможных уязвимостей, доверие может быть полезно лишь в том случае, если оно подкреплено надёжными мерами информационной безопасности. Добавить безопасности DNS призвана новая технология DNSSEC.

Как известно, DNS сопоставляет IP-адресам символьные имена доменов. В современной глобальной Сети практически всякая активность пользователей связана с использованием DNS. Навигация по веб-сайтам, отправка электронной почты - все эти действия используют доменные имена и DNS. Другими словами, DNS - один из фундаментальных элементов Интернета. Конечно, этот элемент нуждается в защите.

Причиной одной из основных угроз, связанных с DNS, является невозможность проверки подлинности предоставленной системой адресной информации. Эта особенность, вкупе с уязвимостями протоколов обработки запросов в DNS, облегчающих злоумышленникам незаметную для пользователей подделку сведений, создаёт простор для организации хакерских атак. Суть подобных атак обычно одна и та же: рядового пользователя Интернета заманивают на подставной сайт, изменив информацию в DNS. То есть, жертва атаки набирает в адресной строке браузера привычное доменное имя, однако, после запроса к DNS, браузер устанавливает соединение не с тем сервером, который должен соответствовать домену, а с хакерским компьютером. При этом у пользователя, фактически, нет возможности узнать, что он открывает подставной сайт, ведь в адресной строке значится привычное имя, а страницы на веб-сайте злоумышленники могут сделать неотличимыми от страниц настоящего сайта. Подставной сайт может, например, прикинувшись подлинным сайтом платёжной системы, выманивать у пользователя пароли для управления финансовыми средствами.

Нельзя сказать, что специалисты не знали о подобных угрозах до последнего времени. Напротив, уже много лет назад были разработаны и предложены для утверждения различные криптографические способы противодействия подделке данных в DNS. Однако из-за сложностей административного управления глобальной DNS, из-за сложных политических моментов, связанных с изменениями систем адресации Сети, о практическом внедрении методов защиты DNS в масштабах всего Интернета заговорили лишь недавно.

Сейчас лишь одна технология может быть названа вероятным решением описанных проблем. Эта технология - DNSSEC. В рамках DNSSEC предлагается расширить DNS, добавив к ней механизмы проверки подлинности данных с помощью цифровой (электронной) подписи. DNSSEC можно разворачивать постепенно, пристраивая к существующей системе доменных имён. В некоторых доменах верхнего уровня DNSSEC уже запущена (например, SE, BG). Однако корневые серверы глобальной DNS пока не защищены с помощью новой технологии.

Как работает DNSSEC? Основная особенность - в удостоверении данных с помощью цифровой подписи, основанное на криптографии с открытым ключом. Цифровая подпись прикрепляется к адресной информации, размещённой на сервере DNS. С цифровой подписью связаны два ключа: открытый и секретный. Открытый ключ позволяет только проверить достоверность подписи, а для генерации  новой подписи (подписывания адресных данных) потребуется знание секретного ключа. Создать за разумное время валидную цифровую подпись, зная только открытый ключ и обладая ограниченными вычислительными ресурсами, практически невозможно, при нынешнем уровне развития математики.

Цифровая подпись может быть представлена в виде набора байтов, распространяемого вместе с адресной информацией из DNS. При этом конкретная цифровая подпись зависит от подписанных ей данных, то есть подпись нельзя просто скопировать, "отрезав" от одного набора данных и "приклеив" к другому, - подлог будет обнаружен с очень большой вероятностью.

Итак, для удостоверения адресной информации администратор доменной зоны подписывает сведения о соответствии доменных имён и IP-адресов с помощью своего секретного ключа. После этого администратор публикует подписанную адресную информацию и открытый ключ, необходимый для проверки подписи всеми желающими. Потребитель адресной информации из DNS, получив ответ на запрос об адресе того или иного сервера, может проверить подпись в ответе, используя открытый ключ администратора домена.

Важно заметить, что сама по себе описанная схема вовсе не даёт нужной степени защиты. Дело в том, что если потребитель адресной информации получает подделаные злоумышленником данные об адресах, то вполне возможно, что злоумышленник смог подменить и подписи. Сделано это может быть следующим образом: хакер самостоятельно генерирует свои собственные секретный и открытый ключи, после чего подписывает поддельные данные своей (нелегитимной) подписью. Далее свой открытый ключ, соответствующий подписи, хакер выдаёт за ключ администратора доменной зоны, информацию из которой он подделывает. Таким образом, жертва атаки проверяет подпись в только что полученном ответе DNS с помощью ключа хакера и полагает, что получены достоверные данные.

Для решения этой проблемы в DNSSEC используется "иерархия доверия". То есть потребитель адресной информации может проверить, что полученные из DNS криптографические ключи и подписи действительно исходят от авторизованного администратора доменной зоны, запрос о которой отправлялся в DNS. Такая проверка осуществляется с привлечением "третьей стороны", "удостоверяющего центра", которой доверяют и потребитель адресной информации, и администратор домена. Очевидно, что в каждом случае возникает аналогичная описанной выше проблема "доверия": насколько можно доверять данному "удостоверяющему центру"? Это приводит к возникновению целой цепочки подобных "удостоверяющих центров", которые делегируют "доверие" администраторам и другим центрам, расположенным уровнем ниже. Это и есть "иерархия доверия".

В случае с DNSSEC, наиболее логичным и полным решением для создания "иерархии доверия" является привязка её к уже сложившейся иерархии административного управления доменными зонами, когда организация, ответственная за администрирование доменов более высокого уровня, выступает в качестве гаранта достоверности подписей администраторов доменов уровнем ниже, созданных в её зоне ответственности. Впрочем, DNSSEC допускает и иные подходы, позволяя каждому пользователю технологии самостоятельно выбирать "центры доверия".

Однако логичность увязывания административной иерархии в доменной системе имен Интернета с "иерархией доверия" в DNSSEC свидетельствует о том, что о полноценном развертывании DNSSEC можно будет говорить только после того, как будут подписаны корневые серверы мировой доменной системы имён и будет опубликован "корневой ключ", позволяющий проверять подписи всех прочих администраторов.

Энциклопедия сайтостроения, http://site.nic.ru/

 

 

Оставить комментарий

Имя
E-mail
Сообщение
Введите код
с картинки
 


ssl сертификаты