互联网基础设施厂商共同验证DNSSEC技术

伴随互联网安全行业取得里程碑成就之后,又有三家互联网基础设施领导厂商加盟,与全球备受信任的互联网基础设施提供商——威瑞信(VeriSign)公司(纳斯达克代码:VRSN)共同验证其技术。由于威瑞信已经为.net部署了域名系统安全扩展协议(DNSSEC)——这项由技术确保其安全性的最大的域名域,Arbor Networks、Infoblox 和 RioRey已经在威瑞信DNSSEC互通互联实验室中完成了其技术解决方案测试。

DNSSEC通过对DNS数据采用数字签名和验证的方式,帮助保护域名系统(DNS)免受“缓存投毒”和“中间人”攻击。这些数字签名验证数据来源的真实性,并在数据通过互联网传送时核实其完整性。在威瑞信位于美国杜勒斯(Dulles)的独立式DNSSEC互通互联实验室中,各种互联网设施解决方案会经过一系列测试,检验设备在DNSSEC环境中的交互操作能力。威瑞信提供免费测试,以鼓励应用该项服务并为DNSSEC的广泛应用做铺垫。

Arbor Networks、Infoblox、RioRey以及越来越多的机构包括A10网络(A10 Networks)、BlueCat Networks、博科(Brocade)、思科系统(Cisco Systems)和瞻博网络(Juniper Networks),已经在威瑞信DNSSEC互通互联实验室验证其解决方案。通过检验其产品与DNSSEC的交互能力,这些公司正在共同努力,确保在全球范围内审慎地实现安全扩展。

Arbor Networks首席技术官Rob Malan 表示:“Arbor Networks非常关注基础设施的安全问题,DNS明显是其中最关键的因素之一。威瑞信DNSSEC互通互联实验室允许我们测验产品与DNSSEC的兼容能力。Arbor的客户主要来源于全球互联网服务供应商(ISP)、最大的托管服务和数据中心提供商。对于顾客来说,安全是非常关键的问题。”

网络基础设施自动化和控制(包括物理和虚拟DNS、DHCP和IP地址管理平台)领导厂商——Infoblox公司架构和技术副总裁Cricket Liu表示:“缓存投毒等DNS系统漏洞对电子商务、网上银行、邮件通信、客户服务乃至政府机密都是重大威胁。正因如此,成功实施DNSSEC至关重要,因为互联网业界普遍需要检验自身的解决方案与DNSSEC的兼容能力。在这方面,威瑞信DNSSEC互通互联实验室已被证明是必选之路。”

致力于DDoS防御的平台提供商——RioRey公司首席技术官(CTO)Nitin Mehrotra表示:“RioRey公司的关注重点是检测和减少分布式拒绝服务(DDoS)攻击,因此,我们深知DNS在互联网信任架构中的重要性。我们知道通过运用威瑞信强劲测试环境的优势,确保我们的解决方案与DNSSEC交互操作能力的重要性。我们强烈建议互联网各界都能够与我们一样参与进来。”

当黑客破坏在递归服务器上所存储的DNS数据并将查询重定向到恶意网站时,即发生了缓存投毒攻击。DNSSEC可以消除黑客在签名区域和验证签名记录的解析程序中进行缓存投毒的危害能力。通过在根区中创建一个以公开密钥开头的“信任链”,可以验证DNS数据上所产生的数字签名。

威瑞信公司域名服务副总经理Pat Kane表示:“DNSSEC只有在互联网各界协同努力的情况下,以端到端的方式实现时才能有效。目前,伴随.net签名的实施,Arbor Networks、Infoblox以及RioRey共同加入了一个由卓有远见的互联网公司所组成的重要小组,通过展示其领导力和主动创新精神来推动这一实践在业界的全面成功实施。我们期待帮助更多互联网业者在DNSSEC互通互联实验室测试他们的解决方案。”

随着安全扩展在全球的持续发布,DNSSEC测试正发展得愈发重要。DNSSEC已于2010年7月在DNS根区部署。同时,多项计划需要威瑞信在2010年年底前完成.net域名签名,并在2011年第一季度底之前完成.com域名签名。

威瑞信不仅运营DNSSEC互通互联实验室,同时也已推出一个项目旨在帮助互联网各界轻松部署和采用DNSSEC。在过去几个月中,威瑞信已经发布了多种技术资源、举办多场教育会议、参加多场行业论坛、并开发出针对简化DNSSEC管理的多种工具。

威瑞信公司正在发布一款新的iPhone应用程序——DNSSEC Analyzer,作为帮助简化DNSSEC部署的一项努力。DNSSEC Analyzer是一款手机工具,能够帮助诊断DNSSEC签名和域中所存在的问题。这个应用可以对任何域名进行快速诊断,允许用户查看调试信息,并得到关于问题修复有帮助的建议。

威瑞信公司还积极为网络注册商实现DNSSEC提供支持,其中包括软件开发工具箱(SDK)、与.net签名相关的DNSSEC签名和密钥管理服务。