DNS安全策略取得里程碑式的进展

在域系统中架设安全工具的梦想,在周三(6月16日)前进了一大步。互联网决策者在北弗吉尼亚举行了一次会议,期间生成并存储了用于保护互联网根域的第一密钥。

该密钥的完成是在互联网根目录上设置DNS安全扩展(DNSSEC)的最终步骤之一。DNSSEC是一种新兴的互联网标准,他通过允许网站验证自己的域名和针对特定的IP地址使用数字签名还有公钥加密等形式来阻止网络欺诈攻击。

“此次生成的是主根区密钥,它将代表其他所有的密钥。”Ken Silva解释道,“在DNSSEC的实际运行之前,他还有一个月的时间充分测试,这样我们将拥有一个更有效地密钥。”(注:Ken Silva,威瑞信公司CTO,该公司经营互联网的13个根域服务器其中的两个,并利用后端系统管理着.com和.net的顶级域。)

DNSSEC正在被部署于整个互联网基础设施上,从DNS结构最基础的根域服务器到运行.com 和.net等顶级域的服务器都在范围之内,最后有可能将延伸到为个人网站设置的缓存内容。部署完成后,DNSSEC将可以有效解决缓存漏洞带来的风险,此种攻击将使得网络协议重定向与从一个合法的网站到一个没有网站经营者或用户知道的假地址。缓存漏洞是DNS中一个严重缺陷的后果,此缺陷由Dan Kaminsky在2008年处理。(注:Dan Kaminsky,IOActive公司渗透测试总监)

今天的密钥仪式是在弗吉尼亚州库尔佩珀的一个安全数据中心,由“互联网名称与数字地址分配机构”(ICANN)主持的,另一次类似的钥匙仪式将在七月初的洛杉矶举行。

7月的钥匙仪式将演示一套程序,表明网络工程师联会已在秘密的工作环境下为根域服务器创建并存储密钥。届时与会者将包括ICANN员工和世界各地的DNS专家,以便于对密钥的生成和存储过程进行审核。

“全世界的人们都将参与到这个过程当中,所有人的共同努力才能最终完成给顶级DNS准备的密钥,”Steve Crocker说道,“他们是见证者,也是报道者,他们将传递这样一个消息:正确的程序是公平而严格地被执行的”(注:Steve Crocker,Shinkuro公司网络安全专家兼CEO)

两次钥匙仪式是“在根目录上以量产规模部署DNSSEC”的最后一步,一切将在7月15日揭晓。从现在起到7月15日,根域服务器的经营者将对DNSSEC进行最终的测试。“我们将测试尽可能多的我们可以想像到的状况”Silva说,“例如密钥的长度,密钥的安全度,钥匙的有效期限等其他类似的事情。通过测试我们需要发现,系统如何与密钥相适应以及我们的监控和检测系统能否捕捉到这些层出不穷的问题。”

Silva认为此次测试非常顺利,对于根域服务器中加入了的新监测能力感到十分满意。

“我们对于增设在根域基础设施上的检测器很满意”Silva说,“在根域上类似的组件已经有很多了,而我们也都为他们准备了密钥何信任锚点。根域上还有其他很多新信息,传统的检测器智能确保签名的一致以及逻辑的正确;现在我们有了更多的问题,所以我们扩大了控制范围以查找过期的,失效的,没有常规签名的密钥,还有其他形同虚设的东西。”

Kaminsky解决的bug催生了DNSSEC

在2008年Kaminsky发现并解决了那个严重bug后,DNSSEC已经赢得了公众的支持。很多的国家,包括 瑞典,捷克,波多黎各,保加利亚和巴西,都已经支持在他们的国家代码域名设置DNSSEC,并且把 .org 域设置为非营利组织。

美国联邦政府现在部署DNSSEC到.gov 域的进程中,然后还要部署.edu域,这一行为将在7月签署保密协议,随后还有在11月部署 .net 域,2011年3月部署 .com域的计划;威瑞信公司说道。等到根域已经部署完成,支持DNSSEC的顶级域就可以想其经营者提供终端之间的安全策略。

我们期待 这样一系列的活动在所有部署DNSSEC的国家中展开”Silva说道。他还补充说 差不多有50%的DNS查询功能可以支持基于 流行的DNS软件默认设置的DNSSEC标准功能。

因此,网络安全专家已经确认,在从上向下的根服务器中部署DNSSEC 毫无技术障碍。

“一切都非常顺利, ”Crocker在问及DNSSEC设置工作时说,“任何可能阻碍在.com和.net域上架设DNSSEC的事情,到现在为止完全没有被发现。”