科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换部署DNSSEC需注意的五要诀

部署DNSSEC需注意的五要诀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

域名系统安全协议(DNSSEC)正处于逐步推广的状态,这对我们来说,到底意味着什么——现有的设备是否还能继续使用下去。在本文中,我们就将对这些问题进行说明。

作者:ZDNET网络频道 来源:ZDNET网络频道【原创】 2010年11月12日

关键字: DNS 安全 DNSSEC 路由器

  • 评论
  • 分享微博
  • 分享邮件

域名系统(DNS)是互联网的动力源。它不应该遭到破坏,但实际情况是在这里保持信任显然不是一个好主意。违法分子已经学会了利用这种信任制度发出DNS欺骗答复的方式来攻击用户。这种过于专业的说法非常难理解。所以,请看下面例子的说明。

如果你需要转移资金到其它账户上的话,就需要打开保存在浏览器收藏中的银行连接。银行的门户网站会很快就出现在浏览器中。登录过程没有什么问题,但站点回复声称这里出现了错误;你需要稍后再试。搞什么鬼,但你又能做什么?

然后,真正的问题出现了,“你怎么知道这是银行的实际站点?”目前来看,没有办法可以确认这一点,而攻击者喜欢的也正是这一点。通过改变DNS信息,他们可以将浏览器指向被查询站点的恶意替代连接上。这是一个非常聪明的主意,只要我们登录,他们就能获得所有的信息。

 域名系统安全协议

 从1997年开始, 互联网工程任务组(IETF)就一直在试图找出可行的解决方法,确保不会发生误导。他们给出的解决办法就是域名系统安全协议(DNSSEC)。从书面文件的相关内容来看,这似乎是一个好方法。

但有点奇怪的是,关于DNSSEC对于我们,自由职业者和家庭网络来说意味着什么,似乎并没有什么可用的资料。因此,在经过一番搜索后,我总结出了几条要诀。

 1、路由器需要怎么处理

 路由器必须能够处理比普通数据包大的NS数据包。由于新认证的要求,DNSSEC返回的数据包比目前DNS返回的512字节使用用户数据包协议(UDP)的数据包要大。这可能是一个问题。因为有些路由器被设置为拒绝接受大于512字节的DNS数据包。

 路由器也必须能够处理使用传输控制协议/因特网互联协议(TCP/IP)的DNSSEC的回复查询。如果较大的UDP数据包存在问题,DNS服务器会利用TCP/IP协议返回查询。如果路由器不支持这一点,DNS查询将失败。

 最后,路由器必须能正确处理域名系统密钥(DNSKEY)、单笔资源记录(RRSIG)、下一代安全(NSEC) 和第三版记录(NSEC)等参数。这些都是保证DNSSEC流量正常传递的DNS新资源记录参数。邻近的路由器必须知道如何进行处理,否则信任链将被打破。 

 2、确认路由器是否支持DNSSEC

 我没有找到最新的资料,但是找到了2008年的报告《DNSSEC对宽带路由器和防火墙的影响》。研究团队对24款个人和SOHO级路由器进行了评测。你可以了解一下。如果你使用的路由器没有被包括进来,我的建议是询问设备制造商。

 3、其他类域名系统安全测试

 尽管和DNSSEC没有直接关系,但我觉得你会对报告中的这两项测试感兴趣:

 (1)拒绝外行DNS查询

(2)随机化DNS查询端口

 这两项功能非常重要。他们移除了两处潜在的漏洞。通常情况下,这些信息是无法访问的。我想呼吁路由器制造商关注这一问题。

 4、固件更新

 对网关设备的固件进行更新始终是一个好主意,并且在现在比以往任何时候都更加重要。如果你使用的路由器没有通过2008年DNSSEC的测试,更应该更新到最新固件。

 5、上游网络供应商的准备情况

 这不应该成为问题。不过,询问一下也不会造成什么伤害。我想问的问题有两个:

 (1)怎样保护DNSSEC的身份验证密钥?

(2)如果没有正常工作的话,应该找谁?

 火狐浏览器用户的额外补充

 火狐浏览器提供了一个插件,DNSSEC验证器,可以对DNSSEC记录是否存在和真实性进行检查。地址栏显示的不同颜色的钥匙就表明了特定域名中DNSSEC的使用情况。

 最后的思考

 从整体来看,如果DNSSEC获得正确部署的话,网络安全性确实可能获得极大的提高。这就意味着我们的路由器必须处于信任链中。希望以上的说法可以让用户重视这一点:如果路由器不能正确处理DNSSEC数据包的话,你的在线活动,可能会受到很大的影响。 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章