Байнет станет безопаснее: внедрена технология DNSSEC

28 октября 2013 в 8:00

В доменной зоне .BY внедрена технология DNSSEC, которая закрывает ключевые уязвимости в адресной системе DNS и снижает риск так называемых "подмен адреса". Об этом IT.TUT.BY рассказал Сергей Повалишев, директор hoster.by, технического администратора доменной зоны .BY.

В доменной зоне .BY внедрена технология DNSSEC, которая закрывает ключевые уязвимости в адресной системе DNS и снижает риск так называемых "подмен адреса". Об этом IT.TUT.BY рассказал Сергей Повалишев, директор hoster.by, технического администратора доменной зоны .BY.

Как это работает

К примеру, пользователь желает открыть сайт hoster.by для чего вводит в строке браузера соответствующий адрес. В соответствии с сетевыми настройками компьютер пользователя посылает запрос на разрешение доменного имени на DNS-сервер. Данный адрес должен быть уникальным, чтобы компьютеры и сервера могли находить друг друга. Координацию этих уникальных идентификаторов по всему миру осуществляет ICANN - международная некоммерческая организация, созданная при участии правительства США.

При вводе имени системе сначала необходимо преобразовать его в числовой адрес, а уже затем она может установить соединение. Данная система называется доменной системой имен (Domain Name System — DNS) и она преобразует имена, например www.hoster.by, в числа, называемые адресами интернет-протокола. Система DNS преобразует доменные имена, которые люди способны запомнить, в числа, используемые компьютерами для поиска адреса назначения. Система выполняет это действие в несколько этапов.

В определенном смысле это похоже на использование телефонного справочника для поиска телефонного номера по фамилии. Сначала поиск происходит на верхнем уровне службы каталога, называемом "корневая зона". Компьютер посылает запрос в каталог корневой зоны (или каталог верхнего уровня) об информации, связанной с доменом ".by". После получения ответа отправляется запрос к указанной службе каталога ".by" об информации о .hoster.by (второй уровень), и, наконец, отправляется запрос в указанный каталог hoster.by об адресе для www.hoster.by (третий уровень). По завершении данного процесса, который осуществляется практически моментально, компьютеру предоставляется полный адрес.

Недавно в DNS были обнаружены уязвимости, которые позволяют злоумышленнику перехватить процесс поиска. Целью таких атак является захват контроля над сеансом, чтобы, например, направить пользователя на веб-сайт злоумышленника для получения учетной записи и пароля.

DNSSEC

DNSSEC является технологией, разработанной для защиты от таких атак с помощью цифрового "подписывания" данных, которое позволяет быть уверенным в их достоверности. Однако для устранения этой уязвимости интернета необходимо использовать данную технологию на каждом этапе поиска, начиная с корневой зоны и заканчивая последним доменным именем (например www.hoster.by). Подпись корня (использование технологии DNSSEC в корневой зоне) является необходимым действием во всем процессе. При этом данные не шифруются. Технология просто позволяет убедиться в достоверности адреса посещаемого сайта.

Использование технологии DNSSEC на каждом этапе позволяет быть уверенным, что конечный пользователь соединен с настоящим веб-сайтом или другой службой, соответствующей определенному доменному имени. Хотя эта технология не решает всех проблем безопасности интернета, она защищает важную его часть — поиск каталога — дополняя другие технологии, такие как SSL (https:).

До недавнего времени Беларусь была белым пятном на карте стран, использующих DNSSEC.



"В первую очередь цифровой подписью будут подписаны домены государственных органов gov.by и mil.by. Позже аккредитованные регистраторы смогут подписывать домены всем желающим", - рассказал нам Сергей Повалишев.

it.tut.by