Internet Corporation for Assigned Names and Numbers

DNSSEC – что это такое и почему эта технология так важна?

Для связи с другим пользователем по Интернету необходимо ввести соответствующий адрес в компьютере: имя или номер. Данный адрес должен быть уникальным, чтобы компьютеры могли найти друг друга. ICANN осуществляет координацию этих уникальных идентификаторов по всему миру. Без этого не существовало бы глобального Интернета. При вводе имени системе сначала необходимо преобразовать его в числовой адрес, а уже затем она может установить соединение . Данная система называется доменной системой имен (Domain Name System — DNS) и она преобразует имена, например www.icann.org , в числа, называемые адресами Интернет-протокола . Организация ICANN координирует систему адресации для обеспечения уникальности всех адресов .

Н едавно в DNS были обнаружены уязвимые места, которые позволяют злоумышленнику перехватить процесс поиска по имени человека или узла в Интернете . Целью атаки является захват контроля над сеансом, чтобы, например, направить пользователя на веб-сайт злоумышленника для получения учетной записи и пароля.

Данные уязвимости привели к необходимости внедрения технологии, называемой "Расширенная безопасность DNS" (DNS Security Extensions — DNSSEC) , для защиты данной части инфраструктуры Интернета .

Приведенные ниже вопросы и ответы являются попыткой объяснить, что такое DNSSEC, и почему важно внедрение данной технологии.

1) Во-первых , что такое корневая зона ?

Система DNS преобразует доменные имена, которые люди способны запомнить, в числа, используемые компьютерами для поиска адреса назначения (в определенном смысле это похоже на использование телефонного справочника для поиска телефонного номера по фамилии). Система выполняет это действие в несколько этапов . Сначала поиск происходит на верхнем уровне службы каталога, называемом "корневая зона". Используем в качестве примера www.google.com . Компьютер посылает запрос в каталог корневой зоны (или каталог верхнего уровня) об информации, связанной с доменом ".com". После получения ответа отправляется запрос к указанной службе каталога ".com" об информации о .google.com (второй уровень), и, наконец, отправляется запрос в указанный каталог google.com об адресе для www.google.com (третий уровень). По завершении данного процесса, который осуществляется практически моментально, компьютеру предоставляется полный адрес . Каждой службой каталога управляют разные организации : Google управляет google.com, VeriSign Corporation управляет ".com" ( другими доменами верхнего уровня управляют другие организации ), ICANN управляет корневой зоной . 1

2) Зачем необходимо " подписывать корень "?

Недавно обнаруженные уязвимые места в DNS и расширенные возможности технологического прогресса обусловили то обстоятельство, что значительно сократилось время, необходимое злоумышленнику для перехвата любого действия процесса поиска DNS и, тем самым, возможного получения контроля над сеансом, что, например, позволяет направить пользователя на веб-сайт злоумышленника для получения учетной записи и пароля. Единственным способом устранения данной уязвимости на долгий срок является развертывание сквозного протокола системы безопасности, называемого расширенной безопасностью DNS или DNSSEC (DNS Security Extensions).

3) Что такое DNSSEC?

DNSSEC является технологией, разработанной, помимо всего прочего, для защиты от таких атак с помощью цифрового "подписывания" данных, которое позволяет быть уверенным в их достоверности . Однако для устранения данной уязвимости Интернета необходимо использовать данную технологию на каждом этапе поиска, начиная с корневой зоны и заканчивая последним доменным именем ( например www.icann.org). Подпись корня (использование технологии DNSSEC в корневой зоне) является необходимым действием во всем процессе. Важно отметить, что при этом данные не шифруются . Технология просто позволяет убедиться в достоверности адреса посещаемого сайта . 2

4) Что мешает использовать DNSSEC в других звеньях цепи адресации?

Ничего . Но как и для любой другой цепи, прочность которой зависит от каждого звена , если оставить корневую зону неподписанной, это станет решающим моментом в уязвимости всего процесса . Некоторым звеньям можно доверять, а некоторым нет.

5) Как это усилит безопасность обычного пользователя ?

Использование технологии DNSSEC на каждом этапе позволяет быть уверенным, что конечный пользователь соединен с настоящим веб-сайтом или другой службой, соответствующей определенному доменному имени . Хотя эта технология не решит всех проблем безопасности Интернета , она действительно защищает важную его часть — поиск каталога — дополняя другие технологии, например SSL (https:) , которая защищает обмен информацией и предоставляет платформу для дальнейших разработок, позволяющих усовершенствовать безопасность.

6) Что на самом деле происходит при подписи корня ?

При "подписи корня" с помощью технологии DNSSEC добавляется несколько записей для каждого домена верхнего уровня в файле корневой зоны. Добавляются ключ и подпись, подтверждающая достоверность данного ключа .

Технология DNSSEC предоставляет способ проверки достоверности для записей . Она не шифрует данные и не изменяет управление ими, являясь совместимой с ранними версиями текущей системы DNS и приложений . Это означает, что технология не меняет существующие протоколы, на которых основана система адресации Интернета. Она включает цепочку цифровых подписей в иерархию DNS с ключами, генерирующим собственную подпись, для каждого уровня. Это означает, что для доменного имени, например www.icann.org, каждая организация в цепочке должна подписать ключ следующей организации. Например, .org подписывает ключи icann.org, а в корневой зоне подписываются ключи .org. Во время проверки технология DNSSEC идет по этой цепочке в направлении корневой зоны и автоматически сравнивает "дочерние" ключи с "родительскими" ключами . Поскольку каждый ключ может быть проверен предыдущим ключом, для проверки подлинности всего доменного имени необходим только первый родительский или корневой ключ .

Однако иерархия означает, что даже если ключ подписан, технология DNSSEC будет использована для всех доменных имен, что займет время, поскольку каждый следующий домен может быть подписан соответствующими операторами для завершения определенной цепочки. Подпись корня — это только начало . Но она необходима . В последнее время операторы TLD форсировали работу по внедрению DNSSEC в своих зонах (.se, .bg, .br, .cz, .pr также с .gov, .uk, .ca и остальными в будущем ) и ожидается, что остальные операторы скоро последуют их примеру . 3

7) Как происходит управление файлом корневой зоны?

Управление корнем разделено между четырьмя учреждениями:

i) ICANN, международная некоммерческая организация, работающая по договору с Министерством торговли США, выполняет функции "IANA". IANA означает "Агентство по распределению номеров Интернета" (Internet Assigned Numbers Authority). ICANN получает информацию от операторов домена верхнего уровня (top level domain — TLD) (например, "com").

ii) Национальное управление по телекоммуникациям и связям (National Telecommunications and Information Administration — NTIA), являющееся частью Министерства торговли США. Разрешает вносить изменения в корень.

iii) VeriSign, коммерческая организация США, работающая по договору с правительством США для внесения в корневую зону измененной информации, предоставляемой и проверенной ICANN и авторизованной Министерством торговли, а также для распределения файла корневой зоны, содержащего информацию о том, где найти сведения о TLD (например, "com");

iv) Международная группа операторов корневого сервера, которые добровольно управляют и владеют более чем 200 серверами по всему миру, распространяющими информацию о корне из файла корневой зоны по Интернету. Ниже приведены операторы корневых серверов. Каждому оператору назначена буква.

A) Услуги глобального реестра VeriSign.

B) Институт информатики университета Южной Калифорнии.

C) Компания Cogent Communications.

D) Университет Мэриленда.

E) Исследовательский центр им. Эймса национального агентства по аэронавтике и
исcледованию космического пространства, НАСА.

F) Компания Internet Systems Consortium Inc.

G) Сетевой информационный центр Министерства обороны США.

H) Исследовательская лаборатория армии США.

I) Autonomica и NORDUnet, Швеция .

A) Услуги глобального реестра VeriSign.

K) RIPE NCC, Нидерланды.

L) ICANN.

M) WIDE Project, Япония.

См. http://www.root-servers.org

8) Почему для безопасности DNSSEC важно, чтобы сбором, редактированием и отправкой информации занималась одна организация?

Для DNSSEC сила каждой ссылки в цепочке доверия основана на доверии, которое имеет пользователь в организации, обрабатывающей ключ и другую информацию DNS для этой ссылки. Для того чтобы гарантировать целостность этой информации и сохранить доверие, как только данные были проверены, необходимо эти данные защитить от ошибок, преднамеренных или случайных, которые могут появиться всякий раз, как данные о ключе передаются за пределы организации. Наличие одной организации и системы, непосредственно добавляющей проверенный материал в подписанную зону, помогает сохранять доверие вплоть до публикации. Просто, так более безопасно. 4

С повышением уверенности в безопасности DNS, которую обеспечивает технология DNSSEC, становится еще более важным, чтобы доверие, обеспечиваемое корпорацией ICANN путем проверки и аутентификации материала, отмеченного доверием TLD, поддерживалось вплоть
до подписанного файла корневой зоны.

9) Что значат KSK и ZSK в DNSSEC?

KSK (Key Signing key) означает ключ подписи ключа (ключ долговременного пользования), а ZSK (Zone Signing Key) означает ключ подписи зоны (ключ кратковременного пользования). Имея достаточно времени и данных, можно договориться о ключах шифрования. В случае асимметричной криптографии или шифрования с открытым ключом, используемой в DNSSEC, атакующему необходимо определить, посредством прямого перебора или других методов, закрытую половину в паре открытый-закрытый ключ, используемой для создания подписи, подтверждающей достоверность DNS-записи. Это позволит ему обойти защиту DNSSEC. DNSSEC предотвращает эти попытки взлома, используя ключ кратковременного пользования — ключ подписи зоны (ZSK) — для регулярного вычисления подписей DNS-записей и ключ долговременного пользования — ключ подписи ключа (KSK) — для вычисления подписи ZSK, дающей возможность проверки. Ключ ZSK часто изменяется часто, чтобы атакующему было тяжелее "угадать" его, в то время как более длинный ключ KSK изменяется гораздо реже (лучше всего — раз в год). Так как ключ KSK подписывает ключ ZSK, который подписывает DNS-записи, для проверки DNS-записи в зоне необходимо знать только ключ KSK. Это пример ключа KSK в форме записи Delegation Signer (DS), которая передается выше "родительской" зоне. Родительская зона (например, корень) подписывает дочернюю запись DS (например .org) своим ключом ZSK, который подписывается своим ключом KSK. 5

Это значит, что если DNSSEC полностью приняла ключ KSK для корневой зоны, то она становится частью цепочки проверки для каждого проверяемого доменного имени DNSSEC (или разрабатываемого приложения).

10) Кто управляет ключами?

ICANN отвечает за сохранение инфраструктуры ключа, но непосредственно создание ключа KSK предоставляется внешним организациям. Это важный элемент общего глобального принятия этого процесса. ICANN не предлагает конкретного решения, кому предоставлять право на создание ключа, и полагает, что это, как и все вопросы, подлежит общественному обсуждению, и решение должно принять Министерство торговли США.


1 Эти организации и сами DNS-операции часто отражают общую архитектуру Интернета, выходящую за пределы геополитических и организационных границ.

2 Подпись корня также упрощает развертывание на нижних уровнях в DNS и, следовательно, ускоряет общее развертывание DNSSEC.

3http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

4 Позволяет избежать сбоев служб.

5 Для тех, кто знаком с методами шифрования с открытым ключом, DNSSEC — форма инфраструктуры открытого ключа (Public Key Infrastructure — PKI).

Stay Connected

  • News Alerts:
  • Newsletter:
  • Compliance Newsletter:
  • Policy Update: