DNSSEC部署专家Kaminsky表示:协议将增强安全性

日期: 2011-02-20 作者:Robert Westervelt翻译:Sean 来源:TechTarget中国 英文

安全专家考虑为他们所在的领域使用新的协议来改进DNSSEC,使它支持身份认证,但他们不确定他们的组织是否已经准备支持过渡。   上星期二,在2011的RSA会议讨论过程中,一个专家组试图减缓人们的担忧。DNSSEC, 或者叫DNS安全扩展,是一系列在DNS中引入了PKI的协议集。协议变更背后的网络专家们正在稳健推进步伐,去年已经完成对根区域进行数字签名。

政府机构已经开始实施DNSSEC,从.org和 .net,不久将推广到 .com。   至少,在这次RSA信息大会出席者中,有一位来自加拿大的一家重要电信公司,他提出了自己的问题,即在处理这个新协议的时候,如何才能证实在新设备研发上的投资是正当……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全专家考虑为他们所在的领域使用新的协议来改进DNSSEC,使它支持身份认证,但他们不确定他们的组织是否已经准备支持过渡。

  上星期二,在2011的RSA会议讨论过程中,一个专家组试图减缓人们的担忧。DNSSEC, 或者叫DNS安全扩展,是一系列在DNS中引入了PKI的协议集。协议变更背后的网络专家们正在稳健推进步伐,去年已经完成对根区域进行数字签名。政府机构已经开始实施DNSSEC,从.org和 .net,不久将推广到 .com。

  至少,在这次RSA信息大会出席者中,有一位来自加拿大的一家重要电信公司,他提出了自己的问题,即在处理这个新协议的时候,如何才能证实在新设备研发上的投资是正当的、合理的。(DNSSEC需要占用了更大的带宽,一些系统并不支持)。他指出:“现在就来评估实行这一新协议需要的费用以及问题都太早了”。

  安全专家已经清楚从DSN协议遗留下来的不足之处,但是直到2008年网络安全专家Dan Kaminsky发现了一系列缓存的致命bug,问题才突显出来。黑客利用这个漏洞能将合法网站重定向到仿冒网站上,然后可能进行网络钓鱼或者SQL 注入攻击。随着一步步深入的发现,DNS方案提供商提供了一系列的补丁,然而Kaminsky和其他人指出,补丁只是用来短期修补漏洞的。

  Kaminsky以前在IOActive科技公司,现在在纽约创立一家初创公司Recursion Ventures。Recursion公司计划提出能支持DNSSEC协议的安全技术。

  为了阻止缓存中毒,长期办法是DNSSEC,但更好的是,它能允许进一步的身份认证,使网络传输更加安全。实际上,它提供一种额外的认证方法。比如,现在邮件的使用DNS去寻找邮箱服务器的IP地址。但是,它无法依靠DNS找到密匙进行深入一步的身份认证,Kaminsky说道。

  “更大一些的ROI和很多不适用的安全技术挂钩。智能卡不具有可扩展性,安全电子邮件不具有可扩展性。很多跨组织边界的技术都不能扩展。”Kamsinsky说,“所有这些安全技术都没有得到扩展,因为没有使用我们最有效的技术进行扩展。DNSSEC正在改变这种情况,你必须搭建新环境去适应它,所以就涉及到ROI。”

  一旦 .com命名惯例出台,企业就可以测试DNSSEC,Nominum公司董事长兼首席科学家Paul Mockapetris说道(Nominum是一个在DNS、DHCP服务器供应商和IP 地址基础架构解决方案方面领先的供应商),其价值在于DNSSEC提供了更强的安全性能,但Mockapetris也承认,在刚开始的时候,一些公司可能会遇到安装的问题。

  “DNSSEC虽然能进行源端的随机变换,但它也有可能发生误判,所以企业组织必须确认他们的DNS软件已经更新。”,Mockapetris补充道。

  领域的数字签名。他说道,企业可以对已经使用DNSSEC协议的服务器打开验证。特殊的浏览器插件使得员工应用该项技术成为可能。

  早日得以实施。除了实施问题,“我们将开始进行数字签名响应机制”,他对RSA会议与会者如是说。这意味着,一旦全面支持DNSSEC,身份认证将更好的用以进行文件和记录的保护。

翻译

Sean
Sean

相关推荐

  • DNSSEC协议缘何在企业部署进展缓慢?

    DNS安全扩展(DNSSEC)在企业的部署进展缓慢,但专家表示,DNSSEC比现有的证书颁发机构(CA)系统更好,企业对部署这种技术的迟疑可能是因为对其目的的误解。

  • DNSSec:冲出逆境 迎接曙光

    DNSSec全称是域名系统安全扩展,它对于网上可靠的交流与交易都至关重要。它可以修复域名系统中由来已久的易造成重大后果的缓存中毒漏洞。

  • 从实施DNSSEC技术开始

    为了让DNS系统更加安全(通过DNS安全扩展,DNSSEC),要实施什么补丁吗?企业需要采取任何行动吗?或者,这些DNS安全改进会变得清晰吗?

  • 安全域名系统使用指南

    在发现经常访问的网站出现宕机或者误入某些非常下流网站的原因是由于域名系统(DNS)被污染而造成的。解决这一潜在威胁的办法是什么?答案就是域名系统安全扩展(DNSSEC)。