Open-source-projektet sigter mod at gøre sikker DNS nemmere

En gruppe udviklere har udgivet open source-software, der giver administratorer mulighed for at gøre internets adressesystem mindre sårbart over for hackere.

Softwaren, der hedder OpenDNSSEC, automatiserer mange opgaver der er forbundet med at implementere DNSSEC (Domain Name System Security Extensions), som er et sæt et sæt protokoller, der gør det muligt for DNS (Domain Name System) -optegnelser at bære en digital signatur, siger John A. Dickinson, en DNS-konsulent, der arbejder på projektet.

DNS-poster tillader, at websteder oversættes fra et navn til en IP-adresse (Internet Protocol), som kan forespørges af en computer. Men DNS-systemet har flere fejl, der stammer fra dets oprindelige design, der i stigende grad er målrettet mod hackere.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Ved at manipulere med en DNS-server er det muligt for en bruger til at indtaste det rigtige websted navn men være rettet til et bedragerisk websted, en type angreb kaldes cache forgiftning. Det er en af ​​mange bekymringer, der kører en bevægelse for internetudbydere og andre enheder, der kører DNS-servere, til at bruge DNSSEC.

Med DNSSEC er DNS-poster kryptografisk underskrevet, og disse signaturer er verificeret for at sikre, at oplysningerne er korrekte. Vedtagelsen af ​​DNSSEC er imidlertid blevet tilbageholdt af både implementeringens kompleksitet og mangel på enklere værktøjer, siger Dickinson.

For at underskrive DNS-poster bruger DNSSEC offentlig nøglekryptografi, hvor signaturer oprettes ved hjælp af en offentlig og privat nøgle og implementeret på et zone niveau. En del af problemet er styringen af ​​disse nøgler, da de skal opdateres med jævne mellemrum for at opretholde et højt sikkerhedsniveau, sagde Dickinson. En fejl ved at administrere disse nøgler kan medføre store problemer, hvilket er en af ​​udfordringerne for administratorer.

OpenDNSSEC gør det muligt for administratorer at oprette politikker og derefter automatisere styringen af ​​nøglerne og underskrive registre, sagde Dickinson. Processen indebærer nu mere manuel indgriben, hvilket øger chancen for fejl.

OpenDNSSEC "sørger for, at denne zone forbliver underlagt korrekt og korrekt i overensstemmelse med politikken permanent", sagde Dickinson. "Alt dette er fuldstændigt automatiseret, så administratoren kan koncentrere sig om at gøre DNS og lade sikkerheden arbejde i baggrunden."

Softwaren har også en nøglelagerfunktion, der gør det muligt for administratorer at holde nøgler i enten en hardware- eller sikkerhedssoftwaremodul, et ekstra beskyttelseslag, der sikrer, at nøglerne ikke ender i de forkerte hænder, sagde Dickinson.

OpenDNSSEC-softwaren kan downloades, selv om den bliver tilbudt som en teknologi preview og bør ikke bruges endnu produktion, sagde dickinson. Udviklere vil samle feedback på værktøjet og frigive forbedrede versioner i den nærmeste fremtid.

Fra tidligere i år blev de fleste topniveau-domæner, som dem, der sluttede i ".com", ikke kryptografisk underskrevet, og heller ikke de I DNS-rodzonen er masterlisten over, hvor computere kan gå for at finde en adresse i et bestemt domæne. VeriSign, som er registreringsdatabasen for ".com", sagde i februar, at det vil implementere DNSSEC på tværs af topdomæner, herunder.com inden 2011.

Andre organisationer flytter også mod DNSSEC. Den amerikanske regering har forpligtet sig til at bruge DNSSEC til sit ".gov" domæne. Andre ccTLDs (landskode Top Level Domains) operatører i Sverige (.se), Brasilien (.br), Puerto Rico (.pr) og Bulgarien (.bg) bruger også DNSSEC.

Sikkerhedseksperter hævder at DNSSEC skal bruges snarere end senere på grund af eksisterende sårbarheder i DNS. En af de mere alvorlige blev afsløret af sikkerhedsforsker Dan Kaminsky i juli 2008. Han viste, at DNS-servere hurtigt kunne fyldes med unøjagtige oplysninger, som kunne bruges til en række angreb på e-mail-systemer, software opdateringssystemer og adgangskode genopretningssystemer på websteder.

Mens midlertidige patches er blevet implementeret, er det ikke en langsigtet løsning, da det bare tager længere tid at udføre et angreb, ifølge et hvidbogen, der blev offentliggjort tidligere i år af SurfNet, en hollandsk forsknings- og uddannelsesorganisation. SurfNet er blandt OpenDNSSECs backers, som også indeholder ".uk" -registret Nominet, NLnet Labs og SIDN, ".nl" -databasen.

Medmindre DNSSEC bruges, "den grundlæggende fejl i Domain Name System - der det er ingen måde at sikre, at svarene på forespørgsler er ægte - forbliver, "sagde papiret.