Новый проект поможет повысить защищенность DNS серверов
🕛 31.07.2009, 22:57
Группа разработчиков объявила о выходе открытого ПО, способного облегчить жизнь системным администраторам и сделать службу разрешения имен менее подверженной атакам со стороны хакеров. Проект, названный OpenDNSSEC, помогает автоматизировать многие задачи, связанные с практической реализацией расширений безопасности для DNS (DNSSEC).DNSSEC представляет собой набор протоколов, позволяющих добавлять электронную подпись к записям DNS. Необходимость такой защиты возникла из-за несовершенства дизайна системы разрешения имен, который разрабатывался задолго до выхода сети Интернет на глобальный уровень. Как следствие, сервера DNS постоянно становятся мишенью хакерских атак.
Для проведения успешной атаки злоумышленнику необходимо подменить записи в DNS сервере на свои собственные. Тогда пользователь, набрав в поле ввода URL браузера желаемый правильный адрес, все равно попадет на web-сервер хакера. Одним из способов предотвращения такой атаки, называемой «отравленный кэш», является криптографическая подпись записей в домене.
Хотя спецификация DNSSEC имеет статус международного стандарта уже более 10 лет, практического применения она до сих пор не получила. Отчасти это связано с трудностями, возникающими при работе с электронными ключами. Из-за того, что ключи необходимо периодически обновлять, любая ошибка на этом этапе может стать фатальной для целой ветви интернет доменов или даже для всей сети. OpenDNSSEC, основываясь на наборе заранее установленных правил, позволяет управлять и контролировать правильность электронных подписей доменов. Причем, этот процесс полностью автоматизирован и выполняется асинхронно, что сводит к минимуму влияние на основную функцию DNS - разрешение имен.
Программное обеспечение OpenDNSSEC доступно для загрузки с официального сайта проекта. Разработчики предупреждают, что текущая реализация является тестовой версией, не предназначенная для регулярного использования.