Security Teams



:::
  Ответ в темуСоздание новой темы

> О развитии DNSSEC в России, (c) mt6561
mt6561
Дата 9.11.2006 - 03:29
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 105
Пользователь №: 2007
Регистрация: 2.11.2005



Рейтинг:
(30%) XX---


С момента запуска пилот-проекта внедрения DNSSEC в домене .RU регистратором R01 прошло уже более полугода. Стал ли этот сервис популярным? Так ли важна безопасность в системе DNS в наших условиях? Точный и красноречивый ответ на этот вопрос дает статистика.

Сейчас в подписанной копии домена RU находится более 1000 доменов, зарегистрированных в базе регистратора доменов R01, что выводит ее на первое место в мире среди подписанных DNSSEC доменов. А скорое присоедниение крупных игроков рынка хостинга, таких как например RBC, увеличит число защищенных доменов еще на порядок к 2007 году. Все это говорит о наличии растущего интереса к технологии защищенного делегирования доменов и к имеющей место и представляющей все более реальную угрозу проблеме мошенничества с DNS.

DNS – система доменных имен, она отвечает за навигацию пользователя внутри сети интернет, определяет, с каким именно физическим сервером будет работать пользователь, запросивший содержимое того или иного сайта.

Разработанная около 20 лет назад, она, увы, не учитывала аспектов безопасности и возможностей мошенничества в тогда еще не слишком глобальной Сети.


Сейчас, когда интернет стал невероятно популярным, сетевые преступники также получили в свои руки замечательный инструмент "работы". В самом деле, если заставить пользователя (или даже автономно работающий на другом сервере процесс) соединяться не с требуемым ресурсом, а с сервером киберпреступников, то открываются огромные возможности – от сбора важной информации (паролей, номеров кредитных карт, важных сообщений электронной почты, перехвата телефонных VoIP-переговоров) до подстановки своих данных, например, в биржевых сводках или электронных системах выборов депутатов.

Несколько лет назад было разработано обновление к системе DNS, которое позволяет хранить и обрабатывать не только техническую информацию о серверах и доменах, но и проверочную – электронные подписи записей.


Эта система позволяет гарантировать, что цифровой адрес сервера, соответствующего имени сайта, не искажен злоумышленниками. Новая система получила название Secure DNS, или сокращенно – DNSSEC. Началось внедрение системы в промышленную эксплуатацию.

Следует заметить, что для внедрения DNSSEC требуется ее поддержка как регистраторами доменов, так и системными администраторами, которые должны настроить проверку правильности электронной подписи DNS-ответов на своих серверах (провайдерских, корпоративных и т.д.). Поэтому, а также по причине недостаточного понимания реальной угрозы атак на систему DNS, развертывание DNSSEC несколько тормозится, хотя это достаточно простой с точки зрения системных администраторов процесс: настройка проверки подписи занимает не более получаса. Этот процесс будет несколько ускорен после того, как в очередной новой версии самого популярного сервера DNS – BIND – поддержка DNSSEC будет включена по умолчанию, и большинство серверов перейдут на обязательное использование DNSSEC с очередным плановым обновлением ПО. Это, скорее всего, случится в середине 2007 года. А те, кто настроит поддержку уже сейчас, получат ряд приемуществ перед остальными, начиная от защиты своих пользователей и заканчивая значительным уменьшением уровня почтового спама (который проходит в результате подделанных DNS-ответов об обратном DNS-преобразовании IP-адресов).

Первыми внедрять DNSSEC начали скандинавские страны, такие, как Финляндия, Швеция, вскоре к ним присоединились Нидерланды, Мексика, Англия и ряд других.

Однако задержавшаяся на старте Россия с лекгостью обогнала их по числу защищенных доменов уже за полгода работы пилот-проекта.


Владельцы доменов .RU, работа которых связана с передачей по сети важных данных (банки, биржи, новостные ресурсы, интернет-провайдеры) могут прямо сейчас защитить свои домены протоколом DNSSEC. В настоящее время это не только просто, но и не требует дополнительных финансовых затрат.

Подробнее про систему DNSSEC можно прочитать на сайтах https://www.dnssec.net/, а про внедрение системы в России (с примерами настройки серверов и доменов) – на сайте https://www.dnssec.ru/


https://www.gazeta.ru/techzone/2006/11/03_a_1006297.shtml
PM
Top

Опции темы Ответ в темуСоздание новой темы