Cлужба имен Интернета DNS переходит на новый протокол

1 Star2 Stars3 Stars4 Stars5 Stars (Оцени первым)

inetdns.jpg5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием . Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.

отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать более безопасным. Во всяком случае, полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

 

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные , которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.

 

Статьи на тему:

  • No Related Post
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.

Рейтинг блогов Рейтинг блогов Rambler's Top100 free counters

Large Visitor Map