DNSSEC五项须知:路由成办公网安全新瓶颈

原创
网络 新闻
IETF(互联网工程任务组)从 1997 年已开始寻找方法来防止上述“错误指向”的发生。他们提出的解决方案就是 DNSSEC(Domain Name System Security Extensions,既域名系统安全扩展)。看起来,这是一个不错的想法,至少根据介绍该系统的白皮书是如此。

【51CTO.com 9月6日外电头条】DNSSEC 正在慢慢出笼,但是,这对用户意味着什么?我们现有的设备是否使用它?目前还没有具体的相关信息公布,不过本文试图解决你的一些疑惑。

互联网离不开DNS。虽然 DNS 可能不会崩溃,但它显式的信任机制很明显是一个糟糕的注意。一些心怀鬼胎的人已经找到了一种称为“DNS 劫持”的方法,可利用这种信任对用户造成损害。如果你觉得这种说法很难理解,那下面这个例子会让你明白。

你需要向多个账号转账,点击银行书签,接着在浏览器中就会打开这个银行网站。你正常地登录,但是网站的反应有些不正常。这时,你应该做什么呢?

现在,提出一个值得认真对待的问题:“你怎么知道那个网站真的就是你想要的银行网站呢?”

目前,还没有百分百的确认方式,那些坏蛋喜欢的就是这一点。他们可以修改 DNS 信息,将浏览器中网页指向一个恶意网站,这个网站看起来和你想要访问的网站一模一样。还不明白吗?我们会登录,输入用户名和密码。结果:坏人通过欺骗的手段获得了我们的信任。

DNSSEC

IETF(互联网工程任务组)从 1997 年已开始寻找方法, 来防止上述“错误指向”的发生。他们提出的解决方案就是 DNSSEC(Domain Name System Security Extensions,既域名系统安全扩展)。看起来,这是一个不错的想法,至少根据介绍该系统的白皮书是如此。51CTO编者注:2009年11月,威瑞信(VeriSign)公司公布其已开始为.com和.net全球顶级域名(Top Level Domains, TLDs)部署DNS安全扩展协议(DNSSEC),防止互联网的域名系统(DNS)受到“中间人”和缓存投毒攻击。

不过,对用户以及我们的家庭/办公室网络,DNSSEC 有什么意义?对此并没有太多的信息。经过一番搜索研究,我总结了以下几点你应该了解的信息:

1. 路由器必须能够处理什么样的信息

路由器必须能够处理大于正常大小的 DNS 包。原因在于新的授权规定,DNS 当前所用的是 512 字节的 UDP 包,DNSSEC 响应的大小大于 512 字节。这会带来一些问题。某些路由器的程序设定会拒绝大于 512 字节的 DNS 包。

另外,路由器还必须能够处理已转换为 TCP/IP 的DNSSEC 查询。如果较大的 UDP 包存在问题,DNS 服务器可按照指令使用 TCP/IP 发送 DNSSEC 响应。如果路由器无法提供这种功能,DNS 查询将会失败。

最后,路由器必须能够正确地处理 DNSKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量验证需要这些新的 DNS 来源记录。边界路由器必须能够处理这些记录,否则信任链条将会断掉。

2. 确认路由器是否兼容 DNSSEC

有关这个问题,我在较新的资料中没有找到答案。不过,在 2008 年的一份报告,找到了一些有用的信息。这份报告的名字是:《DNSSEC 对宽带路由器和防火墙的影响》(DNSSEC Impact on Broadband Routers and Firewalls)。这份报告的研究团队做了一些细致的研究,对 24 款个人和公司所用的路由器进行了测试。你可以在这份报告中查看自己的路由器的是否兼容。如果没有找到有关信息,你可以咨询路由器的制造商。

3. 其他一些 DNS 安全测试

以下两个测试与 DNSSEC 没有直接关联,不过,在上文那份白皮书的结果中,提供了这两项测试:

拒绝非初始 DNS 查询

随机分配 DNS 查询端口

这两项测试都非常重要,可消除两种入侵风险。通常,这些信息是不提供的,建议你打电话向路由器制造商咨询。

4. 固件升级

升级网关设备上固件永远都没有错,而且现在比以往更为重要。如果你的路由器无法通过 2008 年的 DNSSEC 测试,试着将固件升级为最新版本,很可能可以解决问题。

5. 上游互联网提供商是否做好准备

这个问题也许并不是什么问题,不过,问问总不会有什么损失。我会询问的两个问题:

如何保护 DNSSEC 验证密钥?

如果无法正常运行,应该和谁联系?

Firefox 用户提示

DNSSEC Validator 是一款 Mozilla 浏览器扩展,可检查 DNSSEC 是否存在以及相关验证。地址栏中不同颜色的关键字表示 DNNSEC 下某个特定域名的状态。

最后的一点想法

DNSSEC 具有一种潜力,能够极大地增加网络的安全性,但是前提是必须对其进行正确的部署。这意味着我们的路由器必须成为信任链条的一部分。最后,我还要提供一点想法:如果路由器无法正确地处理 DNSSEC 包,用户的在线体验将会显著的下降。

原文链接:http://blogs.techrepublic.com.com/five-tips/?p=277

【51CTO.com独家译稿,非经授权谢绝转载,合作媒体转载请注明文章出处及作者!】

 

责任编辑:林琳 来源: 51CTO.com
相关推荐

2009-01-11 10:27:00

小型办公室网络组建

2009-08-08 15:05:28

2013-08-26 09:46:03

谷歌云计算亚马逊云NoSQL数据库

2020-02-05 21:57:17

数据安全远程办公数据泄露

2022-05-12 15:43:08

数据安全数字化黑客

2010-09-30 14:51:02

保护数据安全

2011-12-31 17:49:27

汉柏WLAN网络

2022-09-07 14:44:55

物联网网络安全

2021-07-30 16:20:57

在家办公网络监控工具

2013-03-18 09:09:24

飞鱼星云服务无线网络

2012-10-11 11:14:49

网络安全VPN深信服

2019-11-27 10:37:06

网络技术

2013-08-29 11:17:27

Array办公网络恒大集团

2021-09-03 14:02:42

Aruba远程办公

2010-09-25 13:24:55

家庭网络

2013-07-12 13:30:17

2012-07-27 15:05:13

移动办公汉柏

2020-03-16 08:48:18

Kubernetes容器云原生

2013-04-08 15:16:51

飞鱼星无线云办公网络

2009-06-03 16:25:32

校园办公网络安全思科
点赞
收藏

51CTO技术栈公众号