如何應對來自DNSSEC的挑戰
對DNS安全的所有問題而言,域名系統安全協議(DNSSEC)是不能包治百病的。它不能夠終止路過式(drive-by)攻擊、拒絕服務攻擊或其他任何類型的利用社會工程學和基于頂端DNS保護服務的攻擊。但它確實可以有效阻止病毒攻擊和DNS騎劫,而這正是互聯網電子商務的一個重大的威脅。DNSSEC正在穩步發展,早期的采用者已經開始不斷發展制訂技術標準和培訓資料,以用來升級系統和對設備進行適當配置以適應DNSSEC。那些屬于.gov域的聯邦機構都必須在2009年年底前使用DNSSEC。而.Org是第一個應用了DNSSEC的域。截至到本周,已有6000個使用.edu類域名的教育機構注冊了DNSSEC的服務。預計在2011年.net和.com類域名也會注冊DNSSEC的解析服務。在這次采訪中,PIR的管理總監(負責管理.org域名和Ram Mohan)Lance Wolak表示,他和Afilias公司的執行副總裁Ram Mohan共同分享他們在此項目上的經驗,并展望了今后的DNSSEC部署的道路。 對DNS安全的所有問題而言,域名系統安全協議(DNSSEC)是不能包治百病的。它不能夠終止路過式(drive-by)攻擊、拒絕服務攻擊或其他任何類型的利用社會工程學和基于頂端DNS保護服務的攻擊。但它確實可以有效阻止病毒攻擊和DNS騎劫,而這正是互聯網電子商務的一個重大的威脅。DNSSEC正在穩步發展,早期的采用者已經開始不斷發展制訂技術標準和培訓資料,以用來升級系統和對設備進行適當配置以適應DNSSEC。那些屬于.gov域的聯邦機構都必須在2009年年底前使用DNSSEC。而.Org是第一個應用了DNSSEC的域。截至到本周,已有6000個使用.edu類域名的教育機構注冊了DNSSEC的服務。預計在2011年.net和.com類域名也會注冊DNSSEC的解析服務。在這次采訪中,PIR的管理總監(負責管理.org域名和Ram Mohan)Lance Wolak表示,他和Afilias公司的執行副總裁Ram Mohan共同分享他們在此項目上的經驗,并展望了今后的DNSSEC部署的道路。
問:.org是第一個登錄到DNSSEC的頂級域名。該項目是從什么時候開始的?為什么.org會成為第一個?
Lance Wolak:我們于6月2日成功的在.gov域實施DNSSEC,這是我們在實施中邁出的第一步,也是DNSSEC測試階段的開端,.Gov最近也開始部署DNSSEC。雖然.Gov和.org屬于通用頂級域名(GTLD),但它們卻是受到高度限制的GTLD。作為首個開放式的GTLD,.org正處于蓬勃發展中。1050萬個已注冊的域名對于通用頂級域這個領域來說,這個數字實在是一個重要的里程碑。
Ram Mohan:對于全球超過25個地點的.org類域名的解析服務器來說,都必須有效地回應來自任何地方符合DNSSEC規范的解析請求,同時還要對請求進行通暢的響應。此外,.org還會在.org之下的空間加入其他域名。我們需要確保這些工作能夠順利的進行,而且我們已經開始開發一個程序,該程序能夠確保處理域名的事務不會受到影響。我們也需要確保能夠與今天操作域名一樣,達到順暢地從一個注冊商的域名轉到另一種域名的目的。
問:Afilias已經提供了.gov的援助?
Mohan:有人要求我們提供一些專業的意見,以及共享自己與美國政府合作的經驗。為此我們將提供一些具體的意見,這些意見來自于我們委員會里的專家,以及我們同公共注冊部門的合作中實施.org所積累的專業技術知識。需要學習的東西很多:例如,我們了解到,NSEC3數據是非常好的頂級域名基礎,因為你不愿看見不明身分的人士提取你所有的文件,并對這些文件進行惡意的操作。我們還了解到,實施DNSSEC是以付出DNS查詢和響應時間性能的降低為代價的,因為數據包比原來要大得多。所以,我們建議在提供域名解析的根(root)服務器中,改用NSEC代替NSEC3作為,因為大家都知道這個根服務器。他們也知道所有根服務器服務的頂級域名。 NSEC3增加了額外的加密文件校驗操作(hash),使得你不能真正猜測出下一個條目的區域文件,并且不能為任何目的而無視任何法律約束或協議地使用它。但在根區域,大家都知道這只會包含國家代碼(如cn,jp)和其他頂級域名。提高這個已經具有很好的加密標準的做法是沒有額外價值的。
問:NSEC和NSEC3是否會增加帶寬的需求呢?
Mohan:的確是這樣,但有一個顯著性差異,這個差異僅僅是因為NSEC3增加了額外的關于NSEC頂層的hash算法。和NSEC相比,NSEC3對帶寬的要求更高一些。我們在自己的實驗室測試中發現,NSEC增加了約5%的查詢時正常響應負荷。但我們發現NSEC3則達到了15%。不同的人可能會有不同的看法,15%的可能會是一個很大的數字。在我們的實際觀測中,我們得到了部署DNSSEC的.org類域名的測試結果,并且真正看到了傳輸控制協議(TCP)查詢的顯著增加,超過了一個用戶數據報協議(UDP)數據包的大小。這與我們的預期基本相符,這是由于某些DNS解析服務器在配置上存在缺陷。而在NSEC3下,我們看到,TCP的流量相比于UDP通信增加了600倍。對于解析.org的域名解析服務器來說,這的確有些應付不過來。而作為測試結果而言,這其實與NSEC沒有多大的區別。為此我們的已經給美國政府提出了一些意見,要小心地分配頂級的域名解析服務器,具體來說就是滿足NSEC3與NSEC的較量的各自需求。
#p#問:如何進行一次DNSSEC部署的測試?你怎么來進行測試呢?
Mohan:當你擁有自己域名的時候,一個比較大的問題是,部署DNSSEC并不方便。這不容易理解,因為還沒有很好地描述DNSSEC的意義,而網絡供應商的那些更容易理解的DNSSEC計劃還沒有付諸實施。在我們的測試和部署的規劃中,我們所做的是編制手冊和具體的培訓計劃,目的是允許一個域名所有者可以簡單地按一下按鈕,就能使用DNSSEC。字面上來講只是點擊一個按鈕,但在注冊端后臺里實際有一個腳本在運行,域名的關鍵字(key)被加載,并且立即傳播它。為了確保這種單點擊能夠正確實現DNSSEC的無縫部署,我們還計劃做一個大的、有足夠規模的測試。該測試即將在今年秋天舉行。
問:對于.gov網站而言,部署DNSSEC似乎會更容易些。真是這樣嗎?
Mohan:我認為這個問題要從兩個方面來看。第一,你如何確定你的域名注冊級別。在你注冊級別中,.gov域是一個較小的區域,它們對誰能得到一個.gov以及誰將使用這個.gov域名的地步有更多的控制權。但是,當涉及到網絡服務提供商和互聯網服務提供商(ISP)時,每個人都將面對同等難度的問題。即,他們都必須確保他們的DNS解析器是以適當的方式發送和轉發處理一個DNSSEC的要求。第二,這些網絡服務供應商和互聯網供應商還必須知道如何處理一個域名被撤銷的情況。現在的DNS是完全不安全的。你可以通過它駕馭Mac這個“大卡車”,而我們正在做的事就是DNS中增加這個卡車的鎖和鑰匙,但在DNS解析端的人開始學習如何改變自己的程序和方法,這樣即使某個鑰匙發生了改變,也可以有新的鑰匙能夠快速準確的添加到自己的域名解析服務器中。
問:現在關鍵字的管理問題仍未得到解決?
Mohan:是的。在域名注冊的級別上,雖然我們已經對關鍵字的管理掌握得爐火純青了,但在網絡服務層次上,某些方面仍然存在些許問題沒有解決。
問:采用何種方法來解決這個問題呢?
Mohan: PIR已開始與網絡注冊安全組(RISG)展開了一項不錯的計劃。我們的系統管理員和網絡工程師已經著手這件事,他們知道如何才能做到這一點。但是,如果他們正在運行著BIND,那么必須先轉到DNSSEC的決議。首先,DNSSEC能理解和執行配置的更改。其次,當缺乏足夠的培訓時,沒有民間社會組織或IT主管會討論是否有必要花50萬美元為整個基礎設施購買一臺新的路由器,或者是否有必要將針對帶寬的基礎設施從T1升級到一個T3水平。事實上,除了這些實際情況以外,人們還有很多不必要的恐懼、不安和疑慮。我們正在試圖讓事實說話,它將不會消耗更多的帶寬,或要求用戶進行一個較大的硬件升級(事實上,一般而言,它沒有任何硬件升級),而在大多數情況下,它只是一個配置更改或軟件升級。
問:你們每隔多久會不得不淘汰或者更換設備呢?
Mohan:關于這個問題,我們已經有了很多經驗。我也與瑞典的朋友們談過這個問題。瑞典是世界上第一個部署DNSSEC的國家,在域名的注冊級別上沒有升級需要,而在注冊級別也確實沒做什么重大的升級,只是做了一些尋常的升級和首要的替代程序。同樣,對于ISP來說也不需要升級。但是,如果一些地方出現了問題,那么我預計可能有升級的需要,比如家庭路由器。那些在2003年以前購入的家庭老式路由器雖然能夠支持DNS協議,并對DNS請求進行解析,但在很多情況下這種路由器必須進行更換,從而支持現在的網絡要求。當然,話又說回來,我們還沒有看到任何超出家庭承受能力的巨大升級需要。
【編輯推薦】
