Защищенные доменные имена - миф или реальность?

Когда более десятилетия назад создавалась система доменных имен, задачей ее разработчиков было сделать поиск определенных компьютеров в Сети наиболее быстрым.

Система доменных имен (DNS) предлагает дружественный человеку механизм, когда вместо ничего не значащих для человеческого сознания цифр можно запоминать адрес, состоящий из лексических единиц, к примеру, www.webweek.com. Этот адрес воспринимается сервером доменных имен и переводится в обычный цифровой формат, который вполне определенно локализует машину в Сети. Именно такая система, легко наращиваемая и расширяемая, позволила Интернет расширяться семимильными шагами. Как показало исследование одной из компаний-консультантов по Интернет, в середине 1997 года в Сети наличествовало 1.3 миллиона доменных имен.

Главная проблема DNS заключается в том, что она недостаточно защищена. Большое количество серверов имеют свои копии отдельных частей DNS-таблиц, по которым устанавливается соответствие домена и ip-адреса. Такая распределенная архитектура устраняет необходимость в наличии на каждом сервере доменных имен полного списка доменов. Если локальный сервер не может ответить на запрос, то он пересылает его уровнем выше. Если запрос добирается до корневого сервера доменных имен, и он не может ответить на него, то он возвращает сообщение об ошибке.

Поскольку достоверность информации, возвращаемой доменным сервером, сильно зависит от стоящих уровнем выше серверов, это делает всю систему очень уязвимой к хакерским атакам. Достаточно нарушить таблицы соответствий, и пользователи не смогут попасть туда, куда им необходимо. Именно так поступила в этом году компания-регистратор доменных имен AlterNIC, когда перенаправила запрос к www.internic.net на свои серверы.

Чтобы избежать подобных ситуаций, был разработан специальный протокол, известный как Secure DNS. Он связывает определенное доменное имя с его официальным ip. Главное его преимущество заключается в том, что он выступает дополнением, надстройкой для обычных протоколов.

 

Сервер, поддерживающий Secure DNS, вместе с обычным ip высылает запрашивающему компьютеру и дополнительную информацию (ключ). Если принимающая система также поддерживает Secure DNS, то она сможет проверить достоверность присланной информации, используя открытый ключ и специальный алгоритм, включенный в ключ, высланный вышестоящим сервером. Если система-получатель не снабжена ПО поддержки Secure DNS, то она просто проигнорирует дополнительную информацию, присланную вместе с ip, и обработает ответ обычным методом.

В теории выглядит все хорошо. Но, как ни странно, и на практике это должно себя оправдать. Большинство серверов доменных имен используют Berkeley Internet Name Daemon (BIND) - открытое ПО, поддерживаемое Internet Software Consortium (ISC). Так вот, не так давно ISC по соглашению с RSA Data Security Inc. получила права на использование криптографических технологий RSA в Secure DNS.

По словам Расса Манди, разработавшего материальное воплощение Secure DNS, основанная на криптографических технологиях RSA защищенная система не уменьшит скорости обработки запросов на поиск соответствующего ip. "Алгоритмы RSA широко используются в Интернет, так как они дают большую производительность, чем любые другие криптографические алгоритмы", - сказал он.

ISC планирует закончить разработку версии BIND, поддерживающей Secure DNS, уже в этом месяце. Хотя процесс апгрэйда ПО весьма неприятен для большинства интернет-провайдеров, руководство ISC думает, что эта технология очень быстро распространится по Сети, так как дает возможность избежать некоторых неприятных хакерских атак, а также блокировать большинство спама, для посылки которого обычно используют неверные доменные имена.

По материалам "Tech ABC" подготовил Андрей КОНОНОВИЧ

Версия для печатиВерсия для печати

Номер: 

52 за 1997 год

Рубрика: 

Internet
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!