• 电话:18981716800(推销勿扰)
  • QQ/微信:958818(加好友请说明原因)
首页 > 资讯中心 > 域名应用 >
资讯中心

域名系统安全协议取得实质性进展

时间:2009-06-25浏览:1次

  域名系统安全协议(DNSSEC)已经花了15年的时间在酝酿,终于取得了一些进展:.gov和.org顶级域名已经开始采用域名系统安全协议,并且在过去几天里,也获得了部分商业方面的支持。

  惠普公司上周宣布,他们将转售Secure64的DNS软件,同时管理DNS供应商Dynamic网络服务公司宣布已经开始采用DNSSEC。DNS产品供应商NeuStar推出了自己的DNS安全设备来保护DNS服务器,以防止受到DNS缓存漏洞攻击,该漏洞于去年由Dan Kaminksy发现。

  随着Kaminsky发现的DNS缓存漏洞攻击,DNSSEC逐渐开始受到关注,并且随后供应商们也开始部署修复补丁。首先,美国联邦政府扩大了广泛使用DNSSEC的计划,现在所有联邦机构在2009年12月前必须使用DNSSEC。最近,一名官员公开表示,最新的FISMA法规将要求联邦机构在明年内在其内网区域部署DNSSEC。Kaminksy在二月份召开的黑帽会议上也表示支持DNSSEC,并在认真研读该标准的规则后认为该协议可以作为确保DNS安全的协议。

  “我对于DNSSEC还不是很熟悉,只是现在还找不到比DNSSEC更好的方法可以解决区域性跨企业验证等问题,”Kaminksy表示,“DNS已经解决了大家的跨企业问题,当然也可以解决安全问题。”

  Infolox公司的架构副总裁兼DNS作者Cricket Liu表示,今年关于DNSSEC最大的新闻就是与.org签署合作协议,并且美国商务部的国家电信和信息管理局(NTIA)表示将会在一年内签署.gov。“这些对于基础设施都有很大的影响力,这是个很大的交易。”

  国际互联网名称和编号分配公司ICANN近日宣布将与NTIA(美国国家标准与技术研究院)以及VeriSign合作以确保互联网的根名(出于安全考虑)与DNSSEC签署协议。“ICANN已经同意与VeriSign以及商务部进行第一次测试,然后将尽快部署DNS安全扩展(DNSSEC),并签署长期协议。”ICANN的总裁兼首席执行官Paul Twomey表示。

  DNSSEC与.org顶级域名成功签署区域是该安全协议的重要里程碑,但是针对各级互联网基础设施还有很多工作要做。

  同时,在部署DNSSEC方面企业也面临着一些挑战。Kaminksy表示,企业不能把DNSSEC仅仅当作一个DNS安全解决方案,而且还能够弥补PKI(公钥基础设施)的不足。DNSSEC将启用新一代安全解决方案以适用于实际工作和企业规模,企业现在应该开始分配资源以处理DNSSEC相关解决方案。

  Infoblox的Liu表示,目前大多数可用的管理签署区的工具都还没有成熟,最普遍的DNS服务器BIND能够对DNSSEC进行命令行控制,这使用起来很困难,并且很难整合到其他管理工具中。

  Kaminsky表示,最大的挑战就是如何让DNSSEC自动化操作,BIND很难实现自动化操作,MSDNS也是如此。当然我们可以使用第三方产品,但是我们需要更好的部署标准。