Szerző: Bizó Dániel

2010. december 8. 17:01

Nem törődnek a cégek a DNS biztonságával

Tavaly nyáron kezdődött meg a védett domain névrendszer, a DNSSEC bevezetése az internetezés biztonságosabbá tétele érdekében, az adoptáció azonban siralmas képet fest, derül ki egy friss felmérésből. A DNS továbbra is könnyedén támadható.

Hiába történt meg tavaly a 13 gyökér névszerver frissítése a DNSSEC, vagyis a Domain Name System Security Extensions specifikációinak megfelelően, a világszerte megtalálható több millió DNS-szerver közül alig néhány vesz részt az azonosítási láncolatban, és alkalmazza a mechanizmus által kínált magasabb biztonsági szintet. A megfelelő elterjedés nélkül a DNSSEC haszontalan, és a DNS manipulációján keresztül továbbra is el lehet téríteni a felhasználókat.

Az Infoblox szkennelése által azonosított DNS-zónákból szinte elhanyagolható mennyiségű rendelkezett DNSSEC aláírással, vagyis hitelesítéssel ahhoz, hogy egy lekért domain zónájában adott DNS-szerver jogosan vesz részt, továbbítja vagy oldja fel maga a lekérést, és ilyen formában legitim IP-címet ad vissza. Ez az arány, vagyis a működő, aláírt DNSSEC szerverek részesedése egészen pontosan 0,022 százalék volt a vizsgált .org, .com és .net tartományokban, ami ugyanakkor így is több mint négyszerese a tavalyinak. Ezeknek is negyede azonban lejárt aláírással rendelkezett, vagyis elbukott a teszten.

Ha ez magas növekedési ütem maradna is, akkor is több mint három évre volna szükség, hogy a többség alkalmazza a rendszert, és nagyjából ötre, hogy kikényszeríthetővé váljon a teljes interneten. Igaz, a terjedést késleltette az is, hogy hitelesítési lánc eddig a legtöbb legfelsőbb szintű tartományban (TLD) megszakadt, ezt erősíti meg az is, hogy a .org TLD alatt már magasabb arány mutatkozik, mint a hitelesítés előtt álló .net és .com esetén, amelyeknek jövő tavaszra várható a hitelesítésük, a VeriSign jóvoltából. Ezt követően az ezeket kezelő felső szintű DNS-szerverek megkapják a privát kulcsokat a digitális aláírások generálásához.

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Az Infoblox szerint mindez azt mutatja, hogy a szervezetek és rendszergazdák az elmúlt években tapasztalt súlyos kockázatokon és problémákon könnyen túltették magukat, és nem veszik komolyan a DNS támadhatóságában rejlő veszélyeket. Jövőre, hogyan a TLD-k is kapnak megbízható aláírást a DNSSEC mechanizmusban, csak magukat okolhatják majd a rendszergazdák, ha például DNS cache poisoning áldozatául esnek felhasználóik.

A védelem működésének lényege, hogy a DNS által adott válaszok mindegyike digitálisan aláírt, amelynek ellenőrzésével a kliens meggyőződhet arról, hogy a kapott adatok megfelelnek-e a megbízható DNS-szerver által elküldöttekkel. A digitális aláírás nyilvános (aszimmetrikus) kulcsos titkosításra épít, vagyis a megadott nyilvános kulccsal kizárólag akkor lehet visszaolvasni az aláírást, ha hiteles forrásból, a megfelelő magánkulccsal kódolták le. Ehhez természetesen szükséges a kliensoldali támogatás is, a modern operációs rendszerekben már megjelent ez a képesség, felkészülve a DNSSEC várható bevezetésére, így a kapott aláírást egy hitelesítési láncon (authentication chain) keresztül megtalálható nyilvános kulccsal kell dekódolni.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról