publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

TAGI: dlv , neustar , dns , dnssec , cache poisoning , isc , afilias

2009-08-16 15:58  |  Adam Golański

DLV: zalety DNSSEC bez konieczności podpisywania stref

DLV: zalety DNSSEC bez konieczności podpisywania stref

Choć DNSSEC zdobywa coraz więcej zwolenników wśród operatorów domenowych rejestrów, to do powszechnej implementacji tej „bezpiecznej” wersji systemu DNS wciąż jeszcze daleko – głównie za sprawą kłopotów wiążących się z koniecznością cyfrowego podpisywania strefy macierzystej (ang. parent zone). Teraz firmy takie jak ISC, Afilias i Neustar chcą upowszechnić system DLV, pozwalajacy na skorzystanie z rozszerzeń bezpieczeństwa DNS w rejestrach, które nie wprowadziły DNSEC.

DLV – DNSSEC Look-aside Validation – to rozwiązanie, którego rynkowym celem jest zwiększenie popularności samego DNSSEC. Z technicznego punktu widzenia umożliwia ono podpisywanie domen w tych wypadkach, gdy strefa macierzysta nie jest podpisana.

Jak wyjaśnił Michael Graff z Internet Systems Consortium, z punktu widzenia oferowanego przez Look-aside Validation bezpieczeństwa, nie ma dla właścicieli domen różnicy w zastosowaniu DLV i podpisaniu strefy macierzystej cyfrowym kluczem. Dlatego „DLV okaże się przydatne dla takich domen jak .com, które podpisane nie są, podczas gdy właściciele .se nic z nim nie zrobią, ponieważ domena .se jest zabezpieczona na poziomie rejestru”.

Problem z bezpieczeństwem

Dzisiaj, gdy potrzebna jest informacja z DNS, ISP odpytuje strefę root o informację adresową, a następnie zapisuje ją w cache. Ram Mohan z Afiliasa wyjaśnił: „W DNSSEC, odpowiedzi z DNS musi towarzyszyć dodatkowa informacja bezpieczeństwa. Pytający – np. ISP – musi otrzymać klucz publiczny i sparować go z kluczem prywatnym utrzymywanym przez miejsce, do którego chce dotrzeć (…) np. Afiliasa dla .org czy redcross dla redcross.org. Jeśli strefa root nie jest podpisana, nie może udzielić informacji zwrotnej, potrzebnej dla „zabezpieczenia” odpowiedzi dla .org”.

Oferowane przez ISC rozwiązanie pozwala rejestrom na bezpieczne sprawdzenie ważności informacji bezpieczeństwa w DNSSEC. ISP wrażający mechanizm Look-aside Validation muszą utrzymywać listę znanych sobie „kotwic zaufania” (ang. Trust Anchors), które mają prawo zapytywania o informacje bezpieczeństwa DNSSEC.

«poprzednia 1 2 następna »

publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

Warto przeczytać

W lipcu zainfekowane komputery stracą połączenie z Siecią!
Nieumarłe domeny wciąż mogą szkodzić w Sieci: luka w DNS utrudni walkę z malware
[Aktualizacja] Anonimowi chcą „wyłączyć” Internet. Atak 31 marca, a plan ataku całkiem sprytny
Czas na porządki w WHOIS. Raport niezależnego zespołu ujawnia niezły bajzel

Komentarze

Odśwież

Uwaga! Możesz zarejestrować się w serwisie i w ten sposób zarezerwować swój nick oraz ominąć konieczność ciągłego odczytywania wyrazów.

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.

Popularne 7 dni 30 dni

Społeczność komentarze forum

Polecane książki

Praca

Czytaj Webhosting

Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.

Zarejestruj domenę

Sprawdź dostępność swojej domeny:

.pl: 0 zł   .com: 19.90 zł
.com.pl: 0 zł   .eu: 19.90 zł