Закрыть уязвимые места в системе доменных имен поможет протокол DNSSEC

Не так давно в Афинах прошла 67-я конференция RIPE, ее организатором выступил координационный центр, RIPE NСС, занимающийся управлением адресными ресурсами Сети в Европейском регионе.

Среди многочисленных тем, обсуждаемых на мероприятии, был и вопрос по внедрению безопасного протокола DNSSEC. Именно он способен закрыть в системе доменных имен существующие ныне фундаментальные уязвимости.

На конференции были представлены работы относительно вопросов борьбы с атаками на DNS. Была продемонстрирована малозатратная схема записи поддельных данных в кэширующие резолверы. Стоит отметить, что подобный опыт является доказательством необходимости внедрения DNSSEC на авторитативных серверах провайдеров (это могут быть регистраторы доменов).

Заместитель технического директора по специальным проектам RU-CENTER Павел Сухой считает, что данная опция, вне всяких сомнений, способна в глазах клиентов поднять престиж предоставляемого DNS-сервиса. Кроме того, нововведение способно существенно снизить вероятность появления негативных отзывов о компании в том случае, если будут атаки, направленные на подделку записей в кэширующих серверах.

Впрочем, даже при всех своих преимуществах, работа протокола DNSSEC представляет сложность для провайдеров. Это связано с рядом трудностей, в число которых входит и законодательство.

Для того, чтобы внедрить протокол, необходимо существенно доработать инфраструктуру услуги DNS. Кроме того, потребуется затратная модернизация оборудования, чтобы можно было повысить устойчивость к нагрузкам. Дороговизна такого оборудования – это лишь малая часть проблем, с которыми придется столкнуться.  Дело в том, что часть оборудования не разрешена для использования в России.

14.11.2013