DNS z podpisem elektronicznym

Standard DNSSEC umożliwi bezpieczną wymianę informacji o konfiguracji domen internetowych.

Standard DNSSEC umożliwi bezpieczną wymianę informacji o konfiguracji domen internetowych.

Nowa technologia wymiany informacji o konfiguracji domen internetowych, stanowiąca rozszerzenie standardu DNS (Domain Name System), ma umożliwić bezpieczną komunikację zarówno między serwerami DNS, jak i użytkownikami Internetu a docelowymi serwerami. DNSSEC będzie bowiem integrować system nazewnictwa internetowego DNS z technologią certyfikatów elektronicznych. Dzięki temu niemożliwe staną się ataki hakerów polegające na tworzeniu podrobionych kopii popularnych serwisów internetowych.

Aby nowy standard mógł się upowszechnić w Internecie, konieczna jest wymiana oprogramowania serwerów DNS - i to poczynając od serwerów najwyższego rzędu obsługujących tzw. domeny funkcjonalne (.com, .mil, .edu i również .pl), a kończąc na serwerach znajdujących się na dole drzewa struktury DNS.

Realne zagrożenie

Ataki na serwery DNS, chociaż niezbyt częste, są bardzo groźne w skutkach. Sieciowi włamywacze stosują różne sposoby, by zdobyć kontrolę nad takim serwerem. Przykładowo, przeprowadzając udany atak typu DoS na serwer DNS, mogą doprowadzić do jego przeciążenia i zawieszenia, a następnie, wykorzystując jego numer IP, udostępniać inną zawartość bazy DNS. Działanie to nazwane spoofing jest najczęściej wykorzystywane w tych przypadkach, gdy haker chcąc zakpić z firmy bądź instytucji, umieszcza na tak podstawionym serwerze treści obraźliwe czy parodiujące właściwą zawartość. Działania te mogą mieć również inny cel, np. włamywacz może udostępnić pod właściwym adresem własną kopię sklepu internetowego tylko po to, by móc przejmować w ten sposób numery kart kredytowych jego klientów.

Zjawisko podszywania się pod serwery DNS ma jeszcze jeden aspekt. O ile można je uznać za mało kłopotliwe w przypadku, gdy dany serwer obsługuje tylko jedną domenę internetową, o tyle staje się już bardzo uciążliwe, gdy jeden serwer obsługuje wiele takich domen. Wtedy to włamywacze, zdobywając kontrolę nad takim serwerem, są w stanie zakłócić funkcjonowanie nie tylko jednej domeny, także dużo większego obszaru sieci.

Nazwa podpisana

Nowy protokół DNSSEC umożliwia zarówno klientom DNS, jak i serwerom DNS uczestniczącym w replikowaniu informacji domenowych weryfikację zgodności nazwy domeny z adresem IP jej serwera z wykorzystaniem technologii podpisu elektronicznego i szyfrowania z użyciem kluczy asymetrycznych.

Jedynym oprogramowaniem serwera DNS, obsługującym obecnie protokół DNSSEC przy wymianie informacji domenowych, jest dostępny bezpłatnie pakiet BIND 9. Jest to napisana od nowa wersja tego najbardziej standardowego serwera DNS. Oprócz DNSSEC, obsługuje ona wersję 6 protokołu IP i cechuje się znacznie większą niż dotychczas skalowalnością dzięki możliwości wykorzystywania potencjału serwerów wieloprocesorowych. Implementację protokołu DNSSEC w oprogramowaniu BIND 9 sfinansowała amerykańska agencja rządowa DISA (Defense Information Systems Agency), która przeznaczyła na ten cel 2 mln USD (oprogramowanie było rozwijane przez Internet Software Consortium i NAI Labs).

Najnowsza wersja pakietu BIND zostanie wkrótce dołączona do systemów operacyjnych Sun Solaris, HP-UX i Red Hat Linux. Dostępna jest na zasadach open source dla wszystkich zainteresowanych.

Pewność dla instytucji

Zapewne pierwszymi użytkownikami DNSSEC będą agendy rządowe, instytucje finansowe oraz giełdy B2B - wszystkie serwisy, dla których ważne jest zapewnienie, że zawierają autentyczną zawartość i kontaktujący się z nimi klienci internetowi również otrzymują dostęp do właściwego serwera. W przyszłym roku obsługa protokołu DNSSEC zostanie wprowadzona do wszystkich serwerów domeny .mil, obsługiwanych przez armię amerykańską.

Eksperci zauważają jednak, że administrowanie serwerami zgodnymi z DNSSEC będzie zdecydowanie trudniejsze niż zarządzanie standardowymi serwerami DNS. Oprócz serwera zamieniającego nazwy domen na numery IP (i odwrotnie), administratorzy będą musieli również utrzymywać serwery certyfikatów przechowujące klucze prywatne stosowane w firmie i klucze publiczne innych serwerów DNS. Serwery DNS, przeprowadzające złożone operacje szyfrowania i odszyfrowywania częstokroć wiele razy w ciągu sekundy, będą musiały oferować dużą moc przetwarzania, a zatem będą wymagać do pracy znacznie wydajniejszego sprzętu.

Zdaniem Davida Conrada, który napisał oprogramowanie BIND 9 na zlecenie Internet Software Consortium, złożoność DNSSEC doprowadzi zapewne do tego, że znacznie więcej firm będzie zlecać prowadzenie obsługi własnych domen internetowych firmom zewnętrznym. Tempo, w jakim właściciele serwisów internetowych będą się decydowali na wprowadzanie obsługi DNSSEC, będzie zależeć również od stopnia zagrożenia atakami typu spoofing. Jedynym rzeczywiście skutecznym sposobem zapobiegania ich reperkusjom jest uwierzytelnienie oparte na metodach kryptograficznych z wykorzystaniem podpisu cyfrowego.

Powodzenie implementacji DNSSEC zależy również od tego, jak szybko organizacja ICANN (Internet Corporation for Assigned Names and Numbers) zdecyduje się na zainstalowanie obsługi tego protokołu na serwerach DNS najwyższego rzędu (obsługujących domeny funkcjonalne). Oprócz obsługi DNSSEC, musi ona również uruchomić serwery certyfikatów obsługujące klucze publiczne serwerów DNS.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200