Nyárra biztonságossá válik a DNS

A legfelsőbb szintű domaineket kezelő ICANN (Internet Corporation for Assigned Names and Numbers) és partnerei tegnap befejezték az általuk üzemeltetett 13 gyökér névszerver frissítését, így azok már a VeriSign és az Egyesült Államok nemzetbiztonsági hivatal által irányított, az Internet Engineering Task Force által kidolgozott Domain Name System Security Extension (DNSSEC) szerint működnek. A több fázisban, január végével elkezdett átállás a jelentések szerint probléma nélkül lezajlott, és a következő két hónap során folyik majd a tesztelés utolsó fázisa, mielőtt július elsején aktiválják az új rendszert.

A DNSSEC célja az, hogy az eredeti DNS-t kiegészítve hitelesítse a domainnevek feloldásakor visszaadott IP-címet, garantálva azt, hogy az adatok megbízható forrásból származnak és nem sérültek vagy manipuláltak, azaz a számítógépünk számára válaszként érkező IP-cím egyezik azzal, amelyet a legitim DNS-szerverek tárolnak. Ezzel megakadályozható a ma elterjedt DNS-mérgezési (cache poisoning) és beékelődő (man-in-the-middle) támadások jó része, és a felhasználók nagyobb biztonsággal böngészhetnek a neten.

A védelem működésének lényege, hogy a DNS által adott válaszok mindegyike digitálisan aláírt, amelynek ellenőrzésével a kliens meggyőződhet arról, hogy a kapott adatok megfelelnek-e a megbízható DNS-szerver által elküldöttekkel. A digitális aláírás nyilvános (aszimmetrikus) kulcsos titkosításra épít, vagyis a megadott nyilvános kulccsal kizárólag akkor lehet visszaolvasni az aláírást, ha hiteles forrásból, a megfelelő magánkulccsal kódolták le. Ehhez természetesen szükséges a kliensoldali támogatás is, a modern operációs rendszerekben (pl. Windows 7, Windows Server 2008 R2) már megjelent ez a képesség, felkészülve a DNSSEC várható bevezetésére, így a kapott aláírást egy hitelesítési láncon (authentication chain) keresztül megtalálható nyilvános kulccsal kell dekódolni.

Jelenleg a rendszer utolsó tesztelési fázisa zajlik, ahol minden az utolsó gyökérszerver is a helyére került, a mechanizmus működik, kivéve a publikus kulcsot, a DNSKEY rekordot. Ez az úgynevezett Deliberately Unvalidatable Root Zone, amelynek célja az, hogy úgy tesztelje a DNSSEC csomagok viselkedését a hálózaton, vagyis azt, hogyan reagálnak például a tűzfalak a megjelenő új, nagyobb méretű vagy akár töredezett csomagokra, hogy probléma esetén le lehet állítani a rendszert és visszatérni az eredeti DNS-implementációra anélkül, hogy ezzel leállást okoznának bárhol.

Ez az extra idő ráadásul lehetőséget teremt a rendszergazdáknak ahhoz, hogy véglegesen kiteszteljék a tűzfalakat a DNSSEC csomagok kezelésére - sok tűzfal megfogja az 512 bájt méretnél nagyobb, DNS-nek azonosított csomagokat.

Az előnyök kiaknázásához a DNS szerverek és az egyes irodákban lévő klienseket is fel kell készíteni a DNSSEC kezelésére, hogy az előbb említett cache poisoning és man-in-the-middle támadásokat ki lehessen védeni. A DNSSEC bevezetéshez a Microsoft készített például ingyenes útmutatót, amely más, nem Windows-alapú rendszereknél is szolgálhat támpontként.

Nem ez az első próbálkozás a DNS biztonságossá tételére, a 90-es években már elkezdtek dolgozni a megoldáson, azonban az internet villámgyors terjedése miatt végül felfüggesztették a fejlesztést, mivel a kidolgozott algoritmus nem volt megfelelően skálázható és irreális terhelést jelentett a hálózatra. Az IETF végül alapjaitól újraírta a DNSSEC-et, az új algoritmus jóval kevesebb kommunikációt igényel a DNS-rekord hitelesítéséhez, így a használata nem jár jelentős többletterheléssel.