域名服务器发明者谴责安全协议持续得不到解决

      根据域名服务器的发明者Paul Mockapetris的说法,被互联网工程任务组争论了长达15年之久的域名系统安全协议DNSSEC标准确实是个旷日持久的过程,这意味着标准域名服务器基础架构的安全问题还是没有得到解决。他补充说安全专家Kaminsky今年初发现的漏洞就是对基础架构攻击的佐证。

      Mockpetris博士作为Nominum公司的董事长指出在80年代谈及域名服务器时,安全是人们有意回避的问题,安全的重要性是后来才引起业界的关注。他表示域名系统安全协议已经到达最后阶段,但仍然没有一个统一成型的标准。

      “迄今为止只有瑞典和波多黎各签署了域名系统安全协议”他表示。

      他指出相关组织面临的主要问题之一就是复杂性。他表示关于域名系统安全协议的多数争论主要集中在技术层面,推广和普及的难度让企业对协议的应用多有顾虑。

      “你告诉他们必须要做的事情之一就是建立Perl脚本和运行CRON任务,这就好比用不同的语言互相交流,难度很大”Mockpetris表示。不仅是Kaminsky flaw暴露了域名服务器自身的攻击弱点,而且还有太多服务器存在错误配置的额外问题。“我们了解到有大约一半的域名服务器配置的方法不对。上周我们通过Infoblox公司的市场调研发现有10%的域名服务器存在这种攻击弱点就证明了这种错误的存在”。

      Mockpetris表示Nominum公司通过运行自己的体系架构来保障域名服务器的安全。确实是这样,Nominum是以公司自己的域名服务器Centris为基础的,额外增加了恶意代码控制转向特性。

      Mockpetris介绍说这种由Colt Italy配置的全新体系架构可以用来阻止非法访问和少儿不宜网站的恶意链接。他们的体系架构通过服务提供商极大的加强了安全保障。但Mockpetris认为“这还不够完美,但是它确实提供了尽可能的保护措施,将帮助提供商来支持他们自己的用户”。

      Mockpetris还表示“当我设计域名服务器时,我期望它能支持大约5000万台服务器,但现在这个数量超过了10亿。这超出了工程师能顾及的范围,也大大超出了我的预期”。

      Mockapetris表示域名系统安全协议应该延长技术的使用周期,但我们也要认识到它不可能永远延续下去的事实。他甚至生动的比喻到“如果你想让自己被铭记200年,那就去做音乐,而不是去设计软件”。