DNSSEC 正在慢慢出籠,但是,這對(duì)用戶意味著什么?我們現(xiàn)有的設(shè)備是否使用它?目前還沒(méi)有具體的相關(guān)信息公布,不過(guò)本文試圖解決你的一些疑惑。
互聯(lián)網(wǎng)離不開(kāi)DNS。雖然 DNS 可能不會(huì)崩潰,但它顯式的信任機(jī)制很明顯是一個(gè)糟糕的注意。一些心懷鬼胎的人已經(jīng)找到了一種稱(chēng)為“DNS 劫持”的方法,可利用這種信任對(duì)用戶造成損害。如果你覺(jué)得這種說(shuō)法很難理解,那下面這個(gè)例子會(huì)讓你明白。
你需要向多個(gè)賬號(hào)轉(zhuǎn)賬,點(diǎn)擊銀行書(shū)簽,接著在瀏覽器中就會(huì)打開(kāi)這個(gè)銀行網(wǎng)站。你正常地登錄,但是網(wǎng)站的反應(yīng)有些不正常。這時(shí),你應(yīng)該做什么呢?
現(xiàn)在,提出一個(gè)值得認(rèn)真對(duì)待的問(wèn)題:“你怎么知道那個(gè)網(wǎng)站真的就是你想要的銀行網(wǎng)站呢?”
目前,還沒(méi)有百分百的確認(rèn)方式,那些壞蛋喜歡的就是這一點(diǎn)。他們可以修改 DNS 信息,將瀏覽器中網(wǎng)頁(yè)指向一個(gè)惡意網(wǎng)站,這個(gè)網(wǎng)站看起來(lái)和你想要訪問(wèn)的網(wǎng)站一模一樣。還不明白嗎?我們會(huì)登錄,輸入用戶名和密碼。結(jié)果:壞人通過(guò)欺騙的手段獲得了我們的信任。
DNSSEC
IETF(互聯(lián)網(wǎng)工程任務(wù)組)從 1997 年已開(kāi)始尋找方法, 來(lái)防止上述“錯(cuò)誤指向”的發(fā)生。他們提出的解決方案就是 DNSSEC(Domain Name System Security Extensions,既域名系統(tǒng)安全擴(kuò)展)。看起來(lái),這是一個(gè)不錯(cuò)的想法,至少根據(jù)介紹該系統(tǒng)的白皮書(shū)是如此。51CTO編者注:2009年11月,威瑞信(VeriSign)公司公布其已開(kāi)始為.com和.net全球頂級(jí)域名(Top Level Domains, TLDs)部署DNS安全擴(kuò)展協(xié)議(DNSSEC),防止互聯(lián)網(wǎng)的域名系統(tǒng)(DNS)受到“中間人”和緩存投毒攻擊。
不過(guò),對(duì)用戶以及我們的家庭/辦公室網(wǎng)絡(luò),DNSSEC 有什么意義?對(duì)此并沒(méi)有太多的信息。經(jīng)過(guò)一番搜索研究,我總結(jié)了以下幾點(diǎn)你應(yīng)該了解的信息:
1. 路由器必須能夠處理什么樣的信息
路由器必須能夠處理大于正常大小的 DNS 包。原因在于新的授權(quán)規(guī)定,DNS 當(dāng)前所用的是 512 字節(jié)的 UDP 包,DNSSEC 響應(yīng)的大小大于 512 字節(jié)。這會(huì)帶來(lái)一些問(wèn)題。某些路由器的程序設(shè)定會(huì)拒絕大于 512 字節(jié)的 DNS 包。
另外,路由器還必須能夠處理已轉(zhuǎn)換為 TCP/IP 的DNSSEC 查詢。如果較大的 UDP 包存在問(wèn)題,DNS 服務(wù)器可按照指令使用 TCP/IP 發(fā)送 DNSSEC 響應(yīng)。如果路由器無(wú)法提供這種功能,DNS 查詢將會(huì)失敗。
最后,路由器必須能夠正確地處理 DNSKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量驗(yàn)證需要這些新的 DNS 來(lái)源記錄。邊界路由器必須能夠處理這些記錄,否則信任鏈條將會(huì)斷掉。
2. 確認(rèn)路由器是否兼容 DNSSEC
有關(guān)這個(gè)問(wèn)題,我在較新的資料中沒(méi)有找到答案。不過(guò),在 2008 年的一份報(bào)告,找到了一些有用的信息。這份報(bào)告的名字是:《DNSSEC 對(duì)寬帶路由器和防火墻的影響》(DNSSEC Impact on Broadband Routers and Firewalls)。這份報(bào)告的研究團(tuán)隊(duì)做了一些細(xì)致的研究,對(duì) 24 款個(gè)人和公司所用的路由器進(jìn)行了測(cè)試。你可以在這份報(bào)告中查看自己的路由器的是否兼容。如果沒(méi)有找到有關(guān)信息,你可以咨詢路由器的制造商。
3. 其他一些 DNS 安全測(cè)試
以下兩個(gè)測(cè)試與 DNSSEC 沒(méi)有直接關(guān)聯(lián),不過(guò),在上文那份白皮書(shū)的結(jié)果中,提供了這兩項(xiàng)測(cè)試:
拒絕非初始 DNS 查詢
隨機(jī)分配 DNS 查詢端口
這兩項(xiàng)測(cè)試都非常重要,可消除兩種入侵風(fēng)險(xiǎn)。通常,這些信息是不提供的,建議你打電話向路由器制造商咨詢。
4. 固件升級(jí)
升級(jí)網(wǎng)關(guān)設(shè)備上固件永遠(yuǎn)都沒(méi)有錯(cuò),而且現(xiàn)在比以往更為重要。如果你的路由器無(wú)法通過(guò) 2008 年的 DNSSEC 測(cè)試,試著將固件升級(jí)為最新版本,很可能可以解決問(wèn)題。
5. 上游互聯(lián)網(wǎng)提供商是否做好準(zhǔn)備
這個(gè)問(wèn)題也許并不是什么問(wèn)題,不過(guò),問(wèn)問(wèn)總不會(huì)有什么損失。我會(huì)詢問(wèn)的兩個(gè)問(wèn)題:
如何保護(hù) DNSSEC 驗(yàn)證密鑰?
如果無(wú)法正常運(yùn)行,應(yīng)該和誰(shuí)聯(lián)系?
Firefox 用戶提示
DNSSEC Validator 是一款 Mozilla 瀏覽器擴(kuò)展,可檢查 DNSSEC 是否存在以及相關(guān)驗(yàn)證。地址欄中不同顏色的關(guān)鍵字表示 DNNSEC 下某個(gè)特定域名的狀態(tài)。
最后的一點(diǎn)想法
DNSSEC 具有一種潛力,能夠極大地增加網(wǎng)絡(luò)的安全性,但是前提是必須對(duì)其進(jìn)行正確的部署。這意味著我們的路由器必須成為信任鏈條的一部分。最后,我還要提供一點(diǎn)想法:如果路由器無(wú)法正確地處理 DNSSEC 包,用戶的在線體驗(yàn)將會(huì)顯著的下降。
京公網(wǎng)安備 11010502049343號(hào)