Thứ Ba, 4 tháng 8, 2009

Dự án nguồn mở hướng tới làm cho DNS An ninh dễ dàng hơn

Open-source Project Aims to Makes Secure DNS Easier

Jeremy Kirk, IDG News Service

Jul 30, 2009 8:40 pm

Theo: http://www.pcworld.com/article/169330/opensource_project_aims_to_makes_secure_dns_easier.html

Bài được đưa lên Internet ngày: 30/07/2009

Lời người dịch: OpenDNSSEC giúp tự động hoá các công việc đảm bảo an ninh cho DNS mà trước kia thường các quản trị viên phải làm bằng tay, rất dễ dần tới các sai sót bị tin tặc lợi dụng.

Một nhóm các lập trình viên đã tung ra một phần mềm nguồn mở giúp các quản trị viên trong việc làm cho hệ thống đánh địa chỉ Internet ít bị tổn thương hơn đối với các tin tặc.

Phần mềm này, được gọi là OpenDNSSEC, tự dộng nhiều tác vụ có liên quan tới việc triển khai DNSSEC (Hệ thống tên miền An ninh mở rộng), mà nó là một tập hợp các giao thức cho phép các bản ghi của DNS (Hệ thống tên miền) mang một chữ ký số, John A. Dickinson, một nhà tư vấn về DNS làm việc về dự án này, nói.

Các bản ghi DNS cho phép các website được chuyển từ một cái tên thành một địa chỉ IP (địa chỉ Internet), mà nó có thể được yêu cầu bởi một máy tính. Nhưng hệ thống DNS có một vài sai sót từ ngay thiết kế ban đầu của nó mà chúng đang ngày càng trở thành mục tiêu của bọn tin tặc.

Bằng việc can thiệp vào một máy chủ DNS, có thể đối với một người sử dụng để gõ một tên website đúng nhưng bị hướng vào một site giả tạo, một dạng tấn công gọi là đầu độc bộ nhớ tạm. Đó là một trong nhiều mối quan tâm mà dẫn tới một phong trào đối với các nhà cung cấp dịch vụ Internet ISP và các cơ quan khác quản lý các máy chủ DNS chuyển sang sử dụng DNSSEC.

Với DNSSEC, các bản ghi DNS được ký có mã hoá, và những chữ ký đó được kiểm tra tính đúng đắn để đảm bảo các thông tin là chính xác. Tuy nhiên, việc áp dụng DNSSEC lại mang lại cả độ phức tạp trong triển khai và thiếu các công cụ đơn giản hơn, Dickinson nói.

Để ký các bản ghi DNS, DNSSEC sử dụng mật mã khoá công khai, nơi mà các chữ ký được tạo ra bằng việc sử dụng một khoá công khai và cá nhân và được triển khai ở một mức vùng. Một phần của vấn đề này là việc quản lý các khoá này, vì chúng phải được làm tươi theo chu kỳ để duy trì một mức độ an ninh cao, Dickinson nói. Một sai lầm trong việc quản lý các khoá này có thể gây ra những vấn đề lớn, mà là một trong những thách thức cho các nhà quản trị.

A group of developers has released open-source software that gives administrators a hand in making the Internet's addressing system less vulnerable to hackers.

The software, called OpenDNSSEC, automates many tasks associated with implementing DNSSEC (Domain Name System Security Extensions), which is a set a set of protocols that allows DNS (Domain Name System) records to carry a digital signature, said John A. Dickinson, a DNS consultant working on the project.

DNS records allow Web sites to be translated from a name into an IP (Internet Protocol) address, which can be queried by a computer. But the DNS system has several flaws dating from its original design that are being increasingly targeted by hackers.

By tampering with a DNS server, it's possible for a user to type in the correct Web site name but be directed to a fraudulent site, a type of attack called cache poisoning. That's one of many concerns that is driving a movement for ISPs and other entities running DNS servers to use DNSSEC.

With DNSSEC, DNS records are cryptographically signed, and those signatures are verified to ensure the information is accurate. Adoption of DNSSEC, however, has been held back by both the complexity of implementation and a lack of simpler tools, Dickinson said.

To sign DNS records, DNSSEC uses public key cryptography, where signatures are created using a public and private key and implemented on a zone level. Part of the problem is management of those keys, since they must be refreshed periodically to maintain a high level of security, Dickinson said. A mistake in managing those keys could cause major problems, which is one of the challenges for administrators.

OpenDNSSEC cho phép các nhà quản trị tạo ra các chính sách và sau đó tự động hoá việc quản trị các khoá và ký các bản ghi, Dichkinson nói. Quá trình này bây giờ hiện nay liên quan tới sự can thiệp nhiều bằng tay, mà nó làm gia tăng khả năng mắc lỗi.

OpenDNSSEC ”chăm sóc cho việc đảm bảo rằng vùng này được ký một cách thích hợp và đúng đắn theo chính sách trên một cơ sở vĩnh viễn”, Dickinson nói. “Tất cả những thứ đó được tự động hoá hoàn toàn sao cho người quản trị có thể tập trung vào làm việc với DNS và để công việc an ninh vào phần nền tảng”.

Phần mềm này cũng có một tính năng lưu trữ khoá mà nó cho phép các quản trị viên giữ các khoá trong hoặc là một module phần cứng hoặc phần mềm an ninh, một lớp bổ sung bảo vệ mà nó đảm bảo không kết thúc trogn những bàn tay tồi, Dickinson nói.

OpenDNSSEC, phần mềm này sẵn sàng để tải về, dù nó đang được chào như một công nghệ xem trước và sẽ chưa sử dụng được, Dickinson nói. Các lập trình viên sẽ tập hợp các ý kiến phản hồi về công cụ này và tung ra các phiên bản được cải thiện trong tương lai gần.

Đầu năm nay, hầu hết các tên miền mức cao nhất, như những thứ có đuôi là “.com”, đã không được ký có mã hoá, và cũng không có trong vùng gốc root DNS, nên danh sách chủ của nơi mà các máy tính có thể tới để tra một địa chỉ trong một miền cụ thể. VeriSign, mà là nơi đăng ký cho “.com” đã nói trong tháng 02 là hãng sẽ triển khai DNSSEC ở khắp các miền mức đỉnh bao gồm cả .com vào năm 2011.

OpenDNSSEC allows administrators to create policies and then automate managing the keys and signing the records, Dickinson said. The process now involves more manual intervention, which increases the chance for errors.

OpenDNSSEC "takes care of making sure that zone stays signed properly and correctly according to the policy on a permanent basis," Dickinson said. "All of that is completely automated so that the administrator can concentrate on doing DNS and let the security work in the background."

The software also has a key storage feature that lets administrators keep keys in either a hardware or security software module, an additional layer of protection that ensure keys don't end up in the wrong hands, Dickinson said.

The OpenDNSSEC software is available for download, although it is being offered as a technology preview and shouldn't be used yet in production, Dickinson said. Developers will gather feedback on the tool and release improved versions in the near future.

As of earlier this year, most top-level domains, such as those ending in ".com," were not cryptographically signed, and neither were those in the DNS root zone, the master list of where computers can go to look up an address in a particular domain. VeriSign, which is the registry for ".com," said in February it will implement DNSSEC across top-level domains including .com by 2011.

Các tổ chức khác cũng chuyển hướng sang sử dụng DNSSEC. Chính phủ Mỹ đã cam kết sử dụng DNSSEC cho tên miền “.gov” của mình. Các nhà vận hành ccTLD (Các miền mức đỉnh theo mã quốc gia) tại Thuỵ Điển (.se), Brazil (.br), Puerto Rico (.pr) và Bulgaria (.bg), cũng đang sử dụng DNSSEC.

Các chuyên gia an ninh tranh luận rằng DNSSEC phải được sử dụng sớm hơn thì tốt hơn vì đối với các chỗ dễ bị tổn thương hiên nay trong DNS. Một trong những lý do nghiêm trọng hơn đã được hé lộ bởi nhà nghiên cứu an ninh Dan Kaminsky vào tháng 07/2008. Ông đã chỉ ra rằng các máy chủ DNS có thể nhanh chóng bị điền đầy với các thông tin không chính xác, mà nó có thể được sử dụng cho một loạt các cuộc tấn công trong các hệ thống thư điện tử, các hệ thống cập nhật phần mềm và các hệ thống phục hồi mật khẩu trên các website.

Trong khi chờ đợi các bản vá được triển khai, mà đây không là một giải pháp lâu dài khi nó chỉ mất thời gian nhiều hơn để thực hiện một cuộc tấn công, theo một sách trắng được xuất bản đầu năm nay bởi SurfNet, một nghiên cứu của Đức và tổ chức giáo dục. SurfNet là một trong những người ủng hộ OpenDNSSEC, mà cũng đưa “.uk” đăng ký Nominet, Nlnet Labs và SIDN, đăng ký của “.nl”.

Trừ phi DNSSEC được sử dụng, nếu không “lỗi cơ bản trong Hệ thống Tên Miền – mà không có cách nào đảm bảo rằng các câu trả lời cho các câu hỏi là chính xác – vẫn bị giữ nguyên”, tài liệu nói.

Other organizations are also moving toward using DNSSEC. The U.S. government has committed to using DNSSEC for its ".gov" domain. Other ccTLDs (country-code Top-Level Domains) operators in Sweden (.se), Brazil (.br), Puerto Rico (.pr) and Bulgaria (.bg), are also using DNSSEC.

Security experts argue that DNSSEC should be used sooner rather than later due to existing vulnerabilities in DNS. One of the more serious ones was revealed by security researcher Dan Kaminsky in July 2008. He showed that DNS servers could be quickly filled with inaccurate information, which could be used for a variety of attacks on e-mail systems, software updating systems and password recovery systems on Web sites.

While temporary patches have been deployed, it's not a long-term solution since it just takes longer to perform an attack, according to a white paper published earlier this year by SurfNet, a Dutch research and education organization. SurfNet is among OpenDNSSEC's backers, which also includes the ".uk" registry Nominet, NLnet Labs and SIDN, the ".nl" registry.

Unless DNSSEC is used, "the basic flaw in the Domain Name System -- that there is no way to ensure that answers to queries are genuine -- remains," the paper said.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.