标签归档:DNS安全

DNS安全协议是劳民伤财的事儿吗?

互联网安全专家正在讨论是否应当撤销保护互联网命名系统的密钥协议。DNSSEC开发于1994年但直到2008年才被重视起来,当时域名系统软件中出现一个漏洞导致任何人都可通过“缓存投毒”的方式模仿任何来自网站或邮件托管的服务器。

在使用了10年的DNSSEC之后,互联网专家现在在质疑是否应该使用DNSSEC,尤其是考虑到困难程度及高成本因素。

在今年年初的一篇博文中,Matasano Security创始人Thomas Ptacek在协议中指出,DNSSEC力量薄弱、不安全、不完整、没有必要、昂贵并且“受政府控制”。

他表示,“目前已经出现了更好的DNS安全提案。它们始于浏览器并且会去最根本的区域;支持这些提案并且不会把DNSSEC代码从服务器中抹去。”

这就是由之前曾被称作“未来安全基石”的协议所带来的影响。作为它最大的支持者之一、第一个执行该协议并提供DNSSEC服务的域名即由斯诺登所有的.se顶级域名,感到有义务就DNSSEC的价值做出回应。

“我收到了关于这篇文章的很多问题,所以我觉得有必要做一些回应,”.SE的安全负责人Anne-Marie Eklund-Löwinder写道。但即便给予了最强大的支持,她的话语不过是,“DNNSEC有潜力成为很好的补充。”

那么,到底发生了什么?又是为什么呢?

DNSSEC旨在确保这个臭名昭著的不安全域名系统能够保证某种程度的授权,也就是说要确保跟你通信的服务器名副其实。

这个协议是在很久以前开发的,但鉴于它的技术复杂度以及高昂的推介成本,并未受到重视。转机是在安全研究人员Dan Kaminsky发现了一个危险的漏洞之后,从此它开始流行起来。

Ptacek表示,问题在于DNSSEC只不过让攻击难度稍微增大,但并未解决问题,而且如果安全是通过数字证书等手段实现的,那么安全度会增高但它也会让任何DNSSEC补充都毫无价值可言。


外,DNSSEC使用的是过时的加密方法,且会为政府窥探提供危险的切入点。Ptacek表示,解决方法就是甩掉DNSSEC并且将注意力集中在更好的安
全系统如“键销(key
pinning)”上,后者会从一个中央机构中提取信任并且将其留在单个域操作符中。“中央机构无法解决互联网信任问题。中央机构就是互联网信任问题本
身。”Ptacek表示。

鉴于斯诺登披露了NSA大规模在线监控活动,其中包括采取许多神通广大、坚决有力的措施来对抗安全性能。Ptacek同时担心DNSSEC可能会被用于监控及拦截全球互联网流量。

DNSSEC、通过DNSSEC验证数字证书的措施、及DANE(基于DNS的命名实体认证)能够让人们在不知情的情况下将数据交给有权获取特别顶级域名的政府。

不同意见

但Eklund-Löwinder也列出了DNSSEC的好处。

她表示,虽然DNSSEC并未阻止安全问题,但它让事情的实施变得更为困难,而这本身就是一个不错的目标。

Ptacek
与Eklund-Löwinder在某一点上达成了一致:证书机构并没有提供恰当的信任及安全水平。“几年来有很多针对证书以及多个证书机构的严重攻
击,”她写道,“因此,我们必须要想如何解决存在的问题。我们谈得是传统安全。被成功攻击的证书机构损害控制各不相同。一些受影响的证书机构在将信息传递
给客户及外界的时候进展缓慢且不当。这些证明了缺乏风险管理的事实。

Eklund-Löwinder认为通过DANE项目使用DNSSEC来验证证书的解决方案本身并未被攻陷。Ptacek反对利用DANE,并认为额外的验证应该来自个人用户以及/或者域名运营商。

Eklund-Löwinder还指出,DNSSEC并不需要额外的代码,因为代码本身可能会在未来带来安全漏洞。


而,Ptacek表示,DNSSEC远非完美。有一个专门网页在追踪DNSSEC的失败及中断问题。清单顶端描述的一种情况是,在2009年,整个.se
的瑞典域名系统消失了一个小时,删除了90万个域名,而这是由DNSSEC更新中出现的一个错误导致的。除此之外还有多个其他例子。


么,互联网社区会朝哪个方向前进呢?会走近DNSSEC还是会远离?现在下结论还为时过早,不过对于每个执行DNSSEC(与域名监督机构ICANN签署
的合同内容之一)的所有1000多个新型通用顶级域名来说,如果DNSSEC产生重大问题,在未来的几年内它们似乎会被大规模公开。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。

域名工程中心:高安全、可持续DNS促进智慧银行发展

3月26—27日,主题为“开拓区域金融
打造智慧银行”的第十二届中国区域性商业银行信息化发展战略高峰年会在广西南宁市召开,本次峰会汇聚包括中国银行业主管部门领导、全国各区域商业银行、金
融业管理咨询机构等机构代表。互联网域名系统北京市工程研究中心副主任、中网公司副总经理邢志杰出席本次峰会并发表主旨演讲,全面分析了我国银行业DNS
系统现状、面临的机遇与挑战。

邢志杰表示,前不久3月12日,因内部域名系统错误导致苹果App
Store、iTunes Store、Mac App Store和iBooks
Store等在线服务全面宕机,中断时间达到11个小时,引发苹果股价大幅下跌,市值蒸发 130
多亿美元。由此可以看出,在当前移动互联网迅速发展大背景下,域名依然是任何互联网内容的入口,包括传统互联网领域,域名的入口地位无法撼动。从域名技术
功能来看,DNS系统作为网络基础设施,是所有服务的入口,是互联网安全架构模型中最基础、最重要的一个环节,一旦DNS系统出现故障,将影响基于网络的
所有服务,导致内容提供商和服务商业务瘫痪。

他认为,从银行内部业务来看,随着金融业网络的规模和业务的发展和融
合,对IT尤其是DNS运维和管理带来巨大的挑战。目前大部分商业银行还采用落后的访问机制和管理手段,在管理、维护和业务连续性等方面面临诸多问题。
DNS系统的重要性目前已经得到业界的高度关注,如何实现传统IP访问向域名访问体系转变,如何满足数据中心容灾需求、提升业务的连续性,以及如何提升安
全保障能力和可视化集中管理、简化IT运维等都已成为广大用户在建设DNS系统时普遍关注的问题。

而随着互联网的发展,电子银行业务对银行更加重要,依赖性更强。作为电子银行业务入口的DNS系统在安全、性能等方面的诉求也越来越强烈,用户普遍关注如何构建安全、可靠的解析平台,如何提供快速以及不中断的解析服务,以及如何实现智能解析,解决用户跨网访问等难题。


表示,从国外银行业的解决思路来看,目前国外渣打银行、苏格兰银行、美国银行等大银行使用专业托管,国内以工、农、中、建为代表以自建DNS模式为主,从
发展趋势来看选择专业DNS托管服务来解决关键业务的模式已经是业界的共识,将来会有更多的金融机构选择专业DNS托管模式。