Хотелось бы поделиться некоторыми ключевыми аргументами в пользу такой технологии обеспечения безопасности, как расширения безопасности системы доменных имен (DNSSEC), и рассказать о важных изменениях, которые будут внедрены в следующем году. Это квинтэссенция моей недавней презентации на Саммите Африки по интернету-2016 (AIS-16) в Габороне, в Ботсване.
Система доменных имен (DNS) — это вопросно-ответная система, поэтому все, кто обращается к поисковым службам в интернете, используют ответы DNS. Однако незащищенные ответы DNS могут оказаться подделками, которые перенаправят трафик, предназначенный для доверенных служб, на вредоносные сайты. Например, попытки получить доступ к информации о банковском счете могут привести к переадресации на сайт, который украдет учетные данные и пароли пользователя и, возможно, даже установит на его компьютер вредоносное ПО.
Защитить пользователей интернета от подобных атак можно с помощью внедрения технологии DNSSEC, которая обеспечивает две основные функции — подписи и проверки. Свое сообщение я хочу посвятить проверке, которая представляет собой усовершенствование безопасности протокола DNS и позволяет проверить аутентичность и целостность получаемых ответов.
Поскольку большинство пользователей интернета доверяют своим поставщикам сетевых услуг и полагаются на них, обеспечение проверки DNSSEC, как правило, осуществляется в инфраструктуре этих поставщиков. Интернет-провайдерам и поставщикам услуг связи следует обеспечить возможность проверки DNSSEC на тех распознавателях DNS, за работу которых они отвечают. Проверка DNSSEC уменьшает риск того, что DNS будет использована злоумышленниками для переадресации клиентов поставщика услуг на зараженные сайты. Хотя такие атаки относительно редки, они могут получить широкое распространение по мере использования уязвимостей, позволяющих проведение более легких для выполнения типов атак.
Помимо защиты инфраструктуры поставщика сетевых услуг, введение проверки DNSSEC предоставляет механизм обеспечения большей надежности данных, хранящихся в DNS. Эта возможность создает новую инфраструктуру, на основании которой можно предоставлять более безопасные услуги.
Настроить DNS-серверы для выполнения проверки относительно просто, а работа с распознавателем, обладающим функцией проверки, не отличается от работы с распознавателем, не имеющим такой функции. При этом требуется определенное текущее обслуживание: операторы распознавателей с функцией проверки должны следить за актуальностью конфигурации «якоря доверия» для корневой зоны DNS. Этот процесс можно автоматизировать.
«Якорь доверия» соответствует открытому криптографическому ключу, который является частью ключа для подписания ключей (KSK) корневой зоны. В 2017 году этот ключ будет изменен. Для информирования сообщества об этих изменениях мы создали страницу «Обновление ключа KSK корневой зоны», на которой они описаны более подробно, рассказано, как члены сообщества могут принять участие в этом процессе, а также содержатся ссылки на дополнительные ресурсы.
Нас радует постоянно увеличивающееся количество организаций, которые внедряют у себя проверку DNSSEC. Это та инвестиция, которая требует минимальных усилий, но позволяет создать более безопасную инфраструктуру DNS, обладающую расширенными возможностями.