Дмитрий Кохманюк: DNSSEC обеспечит лучшую защиту вашего домена

7 декабря 2011, Ольга Мельник

Расширение протокола DNS – система DNSSEC активно внедряется во многих доменных зонах. Ранее мы писали о том, что немецкий домен перешел на поддержку DNSSEC, крупнейшие регистраторы тоже внедряют этот протокол. Несколько дней назад состоялась церемония генерации ключей DNSSEC для домена .UA.

Подробнее о системе DNSSEC любезно согласился рассказать администратор домена .UA Дмитрий Кохманюк.

1. Почему возникла необходимость ввода протокола DNSSEC? Почему DNSSEC называют безопасным протоколом?

DNSSEC — это не новый протокол, а расширение (точнее, несколько расширений) для старого протокола DNS (системы доменных имен). Эти расширения достаточно сложны и в небольшом тексте о них не расскажешь — полное описание занимает с полтысячи страниц. Основное, что делает DNSSEC — обнаружение и защита от ненадежности канала между резолвером и авторитетным сервером DNS, или, говоря проще, провайдером доступа к сети и владельцем домена.

Такая защита от подделок в чем-то аналогична сертификатам, используемым для подключения к веб-сайтам по HTTPS — пользователь может удостовериться, что соединение не перехвачено и содержимое сайта не подделано. Как и в HTTPS, в DNSSEC пользователь не защищен от проблем с безопасностью самого сервера (взлом DNS-сервера с файлом зоны домена, подписанного по DNSSEC, аналогично с взломом сервера, где хранится собственно защищенный сайт — приведет к подделке данных в первоисточнике). Не спасет DNSSEC и в случае разглашения ключа (опять-таки из-за взлома сервера, где ключ хранится) – хотя, как и в случае HTTPS, у владельца домена с DNSSEC есть возможность отозвать старый ключ и сделать новый (и в этом случае пройдет некоторое время, пока все клиенты узнают, что старый ключ больше не действует). Наконец, и в этом случае существует проблема доверия центра сертификации — только в DNSSEC роли этих центров берут на себя регистраторы доменных имен и (частично) администраторы доменов — хранящие у себя копии отпечатков публичных ключей DNSSEC. Приватные части ключей у третьих лиц не хранятся.

2. Какие преимущества в этом случае получают регистраторы и пользователи?

Как я уже сказал выше, пользователи получат дополнительную защиту от искажения или удаления информации о расположении их доменных ресурсов в Интернет. Проще говоря, домены будут с контрольной суммой, которую может проверить пользователь. Для полноценной работы проверки DNSSEC нужно обновление прикладных программ и операционных систем. Пока с этим не очень густо — например, есть плагин для Firefox, который показывает наличие DNSSEC в домене, когда просматриваешь сайт, этот плагин называется DNSSEC Validator :: Add-ons for Firefox — https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/

3. Что изменится в работе регистраторов? Как пользователи внешне заметят использование DNSSEC?

Прежде всего, реестр домена должен включить у себя поддержку DNSSEC (подписав соответствующий файл зоны). Эта работа включает в себя несколько этапов. После этого необходимо добавить в протокол работы реестра с регистраторами поддержку так называемых DS-записей (сокращение от Delegation Signer). Эти записи аналогичны традиционным записям NS (Name Server) и передают контрольные суммы поддоменов.

После этого регистраторы могут добавить новую возможность в клиентские инструменты — договор, панель управления доменом, хостинг-продукт. Далее уже клиент должен использовать эту возможность у себя (либо подписывая зону самостоятельно, либо обратившись к регистратору). По сути, у регистраторов появляется совершенно новая услуга — DNSSEC-хостинг. Регистратор может реализовывать ее по-разному. Пользователи увидят (с помощью нового ПО), что домен теперь «обезопасен».

4. Многие доменные зоны уже работают с DNSSEC. Как продвигается внедрение DNSSEC в Уанете? Отстает ли украинская доменная зона по внедрению DNSSEC?

Большинство доменов стран еще не использует DNSSEC. Тем не менее, крупнейшие домены Европы — .DE, .UK, .NL (Германия, Англия, Нидерланды) используют новые расширения. Домен .UA будет подписан — работы уже ведутся и на прошедшей конференции Uadom был создан главный ключ.

Я не могу пока сказать о точных сроках, но я, со своей стороны, постараюсь сделать все хорошо и без спешки.

Замечу, что в России домены .RU и .РФ пока еще не подписаны — только домен бывшего СССР .SU.

5. Должна ли быть услуга DNSSEC платной для владельцев доменов и регистраторов?

Ответ на этот вопрос — у регистраторов. Отмечу только, что ввод DNSSEC не приведет к увеличению стоимости регистрации доменов без него. Надеюсь, что безопасность не будет дорого стоить.

6. Какие, на ваш взгляд, сложности существуют при введении DNSSEC в Украине?

Прежде всего — недостаточное проникновение Интернета вообще (менее одной трети населения) и сложных технологий в частности. Со своей стороны я участвую в проходящих под эгидой «Хостмастера» мастерских новых технологий (IPv6 и DNSSEC). На последней из них было два выступления о DNSSEC: «Четвертая встреча «Мастерской»: Не только IPv6″.

Кроме недостаточных знаний о преимуществах и принципах работы новой технологии у специалистов интернет-провайдеров и хостинг компаний, есть еще и проблема с устаревшими версиями операционных систем. Я рекомендую использовать последние разработки Apple и Microsoft (или Linux) — в них поддержка DNSSEC работает «из коробки». Уже упоминавшиеся мной Firefox и Chrome знают о DNSSEC.

Наконец, я обращаюсь к пользователям — требуйте новых сервисов! Подобно тому, как лишь исчерпание IPv4 (старого протокола интернет-адресации) адресов привело к необходимости внедрять IPv6 (версию 6) — только настойчивость требований к провайдерам и регистраторам о поддержке DNSSEC сделает его реальностью.

Начните с того, что установите у себя на компьютере (личном) уникальную разработку NLnet Labs — программу dnssec-trigger ( http://www.nlnetlabs.nl/projects/dnssec-trigger/ ); я сам ее использую. Этот небольшой сервер, работающий постоянно, не только уменьшит время обработки DNS-запросов за счет кеша. но и автоматически предупредит вас, если по какой-либо причине безопасный DNS не работает.

Примечание: автор не является разработчиком программы и не несет ответственности за ее применение.

7. Есть ли уязвимости в DNSSEC? Можем ли мы назвать этот стандарт панацеей от большинства эксплуатируемых уязвимостей и веб-атак?

Никакое, даже самое качественное ПО, не может быть панацеей. Начну с человеческого фактора. Все знакомы с сообщением: «Внимание! информация о достоверности адреса сайта не подтвержена. Продолжить?» И многие соглашаются перейти на сайт, думая приблизительно так: «Да поехали, работать надо, вечно эти глупые вопросы, только время зря трачу!». Такая сложная область, как Интернет, не может быть стопроцентно надежной. И, несмотря на то, что стандарт DNSSEC разрабатывали пятнадцать лет, и внедряют уже как минимум пять (в корневой зоне DNS — уже два года, от начала работ 1 декабря 2009 до публикации хеш-суммы главного ключа 15 июля 2010) — это все еще эксперимент, хотя и весьма успешный.

8. Насколько назрело введение DNSSEC с учетом большого количества разных атак и взломов, уменьшится ли число атак после ввода DNSSEC?

Число атак вряд ли уменьшится — как и спам, это одна из тех зол, с которым приходится жить и работать. Эффективность некоторых атак на DNS существенно уменьшится — при условии, что и пользователь и провайдер, и хозяин домена используют DNSSEC. Разумеется, защита должна быть многоуровневой — и в технологическом пироге слой DNS — далеко не единственный, но один из важнейших.

Спасибо за вопросы. Я уверен, что коллективными усилиями мы сделаем наш общий интернет-дом, и его украинскую часть, безопаснее для всех его пользователей.

Примечание: интервью проверено по электронной почте. Дмитрий не выступает от имени других людей или организациий. Возможны фактические ошибки, неточности или опечатки.

Вы можете перейти в конец и оставить комментарий. Уведомления сейчас отключены.

Подпишитесь на новости: