DNS-säkerhetsprotokoll tar fart

Teknologer som förespråkar bättre säkerhet för domännamnssystemet (DNS) har ofta förutspått att tekniken kommer att implementeras under de kommande två till fem åren. Att dessa förutsägelser har pågått i ett och ett halvt decennium har blivit ett inre skämt i branschen.





Förespråkarna kan äntligen ha sin dag. På måndag, företaget som hanterar .com- och .net-registren, VeriSign , kommer att tillkännage sin strategi att stegvis testa och distribuera DNS Security (DNSSEC) senast första kvartalet 2011 för de två toppdomänerna. De Internet Corporation för tilldelade namn och nummer (ICANN) – organisationen som samordnar ägare av internetinfrastruktur – har redan meddelat att de kommer att kickstarta processen genom att skapa toppnivånyckeln för att verifiera domännamn den 1 december.

De två grundläggande stegen ger DNSSEC ett välbehövligt lyft, säger Joe Waldron, chef för produkthantering för VeriSign.

Jag tror att vi är vid en brytpunkt, säger han. Mellan nu och 12 till 18 månader från och med nu kommer du att se en betydande mängd adoptioner bland register, registrarer, internetleverantörer och domännamnsinnehavare.



Domännamnssystemet är en grund som Internet bygger på. DNS-servrar översätter lättbegripliga domännamn, som technologyreview.com, till de numeriska Internetadresser som används av datorer och nätverksenheter för att kommunicera med varandra. DNSSEC lägger till data till domänposterna och infogar kryptografisk information som kan användas för att verifiera att en adress är en giltig destination för en domän.

Men eftersom DNSSEC kräver förändringar av servrarna och mjukvaran som hanterar grundläggande komponenter på Internet, har företag och organisationer motsatt sig att anta det.

Det fanns till exempel mycket oro i slutet av 1990-talet för cache-förgiftningsattacker, säger Dan Kaminsky, chef för penetrationstestning för IOActive , en Seattle-baserad säkerhetstjänstfirma. Många sa att vi måste göra något åt ​​det, men vi gjorde ingenting.



Dessutom är hanteringen av de kryptografiska nycklar som behövs för att validera poster i domännamnssystemet komplicerad. Varje domäns nyckel måste valideras, eller signeras, av en annan nyckel högre upp i förtroendekedjan. Dot-com-domäner kommer att valideras av nyckeln som VeriSign distribuerar. Detta kommer i sin tur att valideras av DNS-nyckelsigneringsnyckeln. ICANN, med U.S. Department of Commerce och VeriSign, kommer att hantera huvudnyckeln.

Kaminsky har sannolikt gett en viss impuls till rörelsen mot DNSSEC. År 2008 sporrade en allvarlig bugg som forskaren upptäckte branschen att arbeta tillsammans för att implementera en lösning för att förbättra DNS-säkerheten. Sårbarheten gjorde det möjligt för en angripare att förfalska DNS-poster så att en person som surfade på Internet till exempel skulle tro att de skulle gå till sin bank, men i själva verket gav sitt användarnamn och lösenord till datatjuvar. Branschen slog sig samman för att distribuera patchar; dock var de en stoppåtgärd, inte en verklig lösning.

Medan andra metoder för att säkra domännamnssystemet har föreslagits, har ingen fått den uppmärksamhet och testning som DNSSEC har haft. Kaminsky trodde på nödvändigheten av DNSSEC. 2009 blev han evangelist och pratade med alla som ville lyssna i ett försök att påskynda antagandet av DNSSEC.



Kaminsky fick folk att inse att det finns många brister i DNS som de inte tänkt på tidigare, säger Keith Mitchell, ingenjörschef för Internet Systems Consortium, en ideell organisation som utvecklar den mest populära DNS-mjukvaran, känd som Berkeley Internet Namn Daemon, eller BIND. Och DNSSEC är i stort sett det enda spelet i stan som löser dessa problem.

Med skapandet av nyckelsigneringsnyckeln den 1 december kommer ICANN att etablera grunden för DNSSEC-infrastrukturen. Underhållare av toppdomäner kommer att kunna signera andra domäner som de är ansvariga för. Skapandet av huvudnyckeln förenklar hanteringen av säkra DNS-servrar och etablerar början på en hierarki av förtroende.

Det här är en kritisk pusselbit som har saknats ett tag nu, säger Mitchell. Hittills har det inte funnits någon förtroendebanker vid roten, vilket har varit ett problem.



VeriSign är inte först med att distribuera DNSSEC i en toppdomän. Sverige implementerade säkerhetstekniken och signerade .se-zonnyckeln 2005. Tidigare i år undertecknade Allmänna intresseregistret zonnyckeln för .org.

VeriSign planerar att ta implementeringen av DNSSEC långsamt, börja med små pilotprojekt, hjälpa registrarer och internetleverantörer att testa deras implementeringar och snabbt gå över till mer ambitiösa implementeringar, säger företaget. Nyckeln är dock att inte bryta några applikationer på Internet, säger Waldron.

Vi vill se till att registrarer gör vad de måste göra för att göra tjänsten tillgänglig för sina kunder, säger han. Nästan varje komponent i Internetinfrastrukturen påverkas av implementeringen av DNSSEC. Så du vill inte skynda på det här. Att minimera eventuella incidenter är en prioritet.

Dölj