Open-Source-Projekt soll sicheres DNS einfacher machen

Eine Gruppe von Entwicklern hat eine Open-Source-Software veröffentlicht, die Administratoren hilft, das Adressierungssystem des Internets weniger anfällig für Hacker zu machen.

Die Software OpenDNSSEC automatisiert viele Aufgaben im Zusammenhang mit der Implementierung von DNSSEC (Domain Name System Security Extensions), die eine Reihe von Protokollen festgelegt ist, die DNS (Domain Name System) -Datensätze eine digitale Signatur tragen können, sagte John A. Dickinson, ein DNS-Berater an dem Projekt. < Mit

DNS-Records können Websites von einem Namen in eine IP-Adresse (Internet Protocol) übersetzt werden, die von einem Computer abgefragt werden kann. Aber das DNS-System hat einige Schwachstellen, die von seinem ursprünglichen Design herrühren und zunehmend von Hackern angegriffen werden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Durch Manipulation eines DNS-Servers ist es möglich Benutzer, der den korrekten Namen der Website eingibt, aber zu einer betrügerischen Site weitergeleitet wird, einer Art von Angriff, die Cache-Poisoning genannt wird. Das ist eine der vielen Bedenken, die eine Bewegung für ISPs und andere Entitäten, die DNS-Server betreiben, zur Verwendung von DNSSEC führen.

DNS-Einträge werden mit DNSSEC kryptografisch signiert, und diese Signaturen werden verifiziert, um sicherzustellen, dass die Informationen korrekt sind. Die Einführung von DNSSEC sei jedoch sowohl durch die Komplexität der Implementierung als auch durch den Mangel an einfacheren Tools behindert worden.

Um DNS-Einträge zu signieren, verwendet DNSSEC Kryptografie mit öffentlichen Schlüsseln, bei der Signaturen unter Verwendung eines öffentlichen und privaten Schlüssels erstellt werden und auf Zonenebene implementiert. Ein Teil des Problems ist die Verwaltung dieser Schlüssel, da sie regelmäßig aktualisiert werden müssen, um ein hohes Maß an Sicherheit zu gewährleisten, sagte Dickinson. Ein Fehler bei der Verwaltung dieser Schlüssel könnte zu großen Problemen führen, was eine der Herausforderungen für Administratoren darstellt.

Mit OpenDNSSEC können Administratoren Richtlinien erstellen und dann die Verwaltung der Schlüssel automatisieren und die Datensätze signieren, so Dickinson. Der Prozess beinhaltet nun mehr manuelle Eingriffe, was die Fehlerwahrscheinlichkeit erhöht.

OpenDNSSEC "sorgt dafür, dass die Zone ordnungsgemäß und korrekt gemäß der Richtlinie dauerhaft signiert bleibt", sagte Dickinson. "All dies ist vollständig automatisiert, so dass sich der Administrator auf DNS konzentrieren kann und die Sicherheit im Hintergrund arbeiten lässt."

Die Software verfügt außerdem über eine Schlüsselspeicherfunktion, mit der Administratoren Schlüssel entweder in einem Hardware- oder Sicherheitssoftwaremodul aufbewahren können, eine zusätzliche Schutzschicht, die sicherstellt, dass die Schlüssel nicht in die falschen Hände gelangen, sagte Dickinson.

Die OpenDNSSEC-Software steht zum Download zur Verfügung, obwohl sie als Technologievorschau angeboten wird und noch nicht verwendet werden sollte Produktion, sagte Dickinson. Entwickler werden Feedback zu dem Tool sammeln und in naher Zukunft verbesserte Versionen veröffentlichen.

Seit Anfang des Jahres wurden die meisten Top-Level-Domains, wie die mit ".com", nicht kryptografisch signiert In der DNS-Root-Zone die Master-Liste, in der Computer nach einer Adresse in einer bestimmten Domäne suchen können. VeriSign, die Registrierungsstelle für ".com", hat im Februar die Implementierung von DNSSEC in Top-Level-Domains einschließlich.com bis 2011 angekündigt.

Auch andere Organisationen sind auf dem Weg zur Verwendung von DNSSEC. Die US-Regierung hat sich verpflichtet, DNSSEC für ihre ".gov" -Domäne zu verwenden. Andere ccTLDs (Ländercode-Top-Level-Domains) in Schweden (.se), Brasilien (.br), Puerto Rico (.pr) und Bulgarien (.bg) verwenden ebenfalls DNSSEC.

Sicherheitsexperten argumentieren, dass DNSSEC sollte aufgrund der vorhandenen Sicherheitslücken in DNS eher früher als später verwendet werden. Eine der gravierendsten wurde von Sicherheitsforscher Dan Kaminsky im Juli 2008 bekannt gegeben. Er zeigte, dass DNS-Server schnell mit ungenauen Informationen gefüllt werden können, die für eine Vielzahl von Angriffen auf E-Mail-Systeme, Software-Update-Systeme und Passwort verwendet werden könnten Wiederherstellungssysteme auf Websites.

Obwohl temporäre Patches eingesetzt wurden, ist dies keine langfristige Lösung, da es nach einem Whitepaper, das Anfang des Jahres von SurfNet, einer niederländischen Forschungs- und Bildungsorganisation, veröffentlicht wurde, nur länger dauert, einen Angriff durchzuführen. SurfNet ist unter den Backendern von OpenDNSSEC, die auch die ".uk" -Registrierungsnominet, NLnet Labs und SIDN, die ".nl" -Registrierung enthalten.

Wenn DNSSEC nicht verwendet wird, "der grundlegende Fehler im Domain Name System - dass dort Es gibt keine Möglichkeit sicherzustellen, dass Antworten auf Fragen echt sind - bleibt ", sagte das Blatt.