DNSSEC技术概述
伴随互联网安全行业取得里程碑成就之后,又有三家互联网基础设施领导厂商加盟,与全球备受信任的互联网基础设施厂商们共同验证其技术。这项由技术确保其安全性的最大的域名域,ArborNetworks、Infoblox 和RioRey已经在DNSSEC技术互通互联实验室中完成了其技术解决方案测试。
DNSSEC技术通过对DNS数据采用数字签名和验证的方式,帮助保护域名系统(DNS)免受“缓存投毒”和“中间人”攻击。这些数字签名验证数据来源的真实性,并在数据通过互联网传送时核实其完整性。在美国杜勒斯(Dulles)的独立式DNSSEC互通互联实验室中,各种互联网设施解决方案会经过一系列测试,检验设备在DNSSEC环境中的交互操作能力。
从实施DNSSEC技术开始
攻击者有时会尝试通过缓存污染攻击,即在服务器中添加恶意的错误DNS记录来操纵DNS记录。攻击者希望这些记录被分发给客户端机器,随后会引导用户不知不觉地访问恶意的web页面。
直到最近,为了抵御这种类型的攻击在客户端方面能做的也很少。但是DNS安全扩展(DNSSEC)技术的发布改变了这个事实,它允许对DNS记录应用数字签名技术并且保证给终端用户提供的记录是真实的。
对DNS进行安全防护的思想已经存在超过十年了,但是在制定技术细节上花费了很长的时间,同时对该技术的采纳十分缓慢。在过去的一年里,特别是在2010年黑帽大会上Dan Kaminsky宣布的DNS漏洞被公布于众之后,这个概念逐渐走出低谷。主要的网络和主机提供商例如Comcast和GoDaddy已经加入到部署DNSSEC的联合治理中。
如果你想在你的企业中从实施DNSSEC技术开始,你需要考虑两件事:修改你的终端来识别DNSSEC记录,以及修改你自己的DNS条目来支持DNSSEC查询。
在客户端方面,微软的Windows 7包含了内嵌的DNSSEC功能,可以通过活动目录的组策略对象来管理。该工具包括用于Linux系统的IDNS软件包,提供DNSSEC查询和故障排除功能。还有很多终端用户工具对流行的应用支持额外的DNSSEC验证,如Firefox、Thunderbird和SSH。
你可能还希望给你自己的DNS条目添加DNSSEC验证支持。
如果你正在使用一个DNS主机提供商,同他们进行核实从而判断他们是否支持DNSSEC记录。这样,如果你管理自己的DNS记录,有许多DNSSEC教程资源可供你查阅。你可以阅读微软的Windows Server 2008 R2 DNSSEC部署指导,或者是BIND9管理员指导的DNSSEC章节进行了解。
DNSSEC技术的简单叙述就为大家介绍完了,希望读者已经掌握和理解。
【编辑推荐】
