Dự án nguồn mở hướng tới làm cho DNS An ninh dễ dàng hơn

Open-sourceProject Aims to Makes Secure DNS Easier

Jeremy Kirk, IDG NewsService

Jul 30, 2009 8:40 pm

Theo:http://www.pcworld.com/article/169330/opensource_project_aims_to_makes_secure_dns_easier.html

Bài được đưa lênInternet ngày: 30/07/2009

Lờingười dịch: OpenDNSSEC giúp tự động hoá các công việcđảm bảo an ninh cho DNS mà trước kia thường các quảntrị viên phải làm bằng tay, rất dễ dần tới các saisót bị tin tặc lợi dụng.

Một nhóm các lậptrình viên đã tung ra một phần mềm nguồn mở giúp cácquản trị viên trong việc làm cho hệ thống đánh địachỉ Internet ít bị tổn thương hơn đối với các tintặc.

Phần mềm này, đượcgọi là OpenDNSSEC, tự dộng nhiều tác vụ có liên quantới việc triển khai DNSSEC (Hệ thống tên miền An ninh mởrộng), mà nó là một tập hợp các giao thức cho phép cácbản ghi của DNS (Hệ thống tên miền) mang một chữ kýsố, John A. Dickinson, một nhà tư vấn về DNS làm việc vềdự án này, nói.

Các bản ghi DNS chophép các website được chuyển từ một cái tên thành mộtđịa chỉ IP (địa chỉ Internet), mà nó có thể đượcyêu cầu bởi một máy tính. Nhưng hệ thống DNS có mộtvài sai sót từ ngay thiết kế ban đầu của nó mà chúngđang ngày càng trở thành mục tiêu của bọn tin tặc.

Bằng việc can thiệpvào một máy chủ DNS, có thể đối với một người sửdụng để gõ một tên website đúng nhưng bị hướng vàomột site giả tạo, một dạng tấn công gọi là đầu độcbộ nhớ tạm. Đó là một trong nhiều mối quan tâm màdẫn tới một phong trào đối với các nhà cung cấp dịchvụ Internet ISP và các cơ quan khác quản lý các máy chủDNS chuyển sang sử dụng DNSSEC.

Với DNSSEC, các bảnghi DNS được ký có mã hoá, và những chữ ký đó đượckiểm tra tính đúng đắn để đảm bảo các thông tin làchính xác. Tuy nhiên, việc áp dụng DNSSEC lại mang lại cảđộ phức tạp trong triển khai và thiếu các công cụ đơngiản hơn, Dickinson nói.

Để ký các bản ghiDNS, DNSSEC sử dụng mật mã khoá công khai, nơi mà các chữký được tạo ra bằng việc sử dụng một khoá côngkhai và cá nhân và được triển khai ở một mức vùng.Một phần của vấn đề này là việc quản lý các khoánày, vì chúng phải được làm tươi theo chu kỳ để duytrì một mức độ an ninh cao, Dickinson nói. Một sai lầmtrong việc quản lý các khoá này có thể gây ra những vấnđề lớn, mà là một trong những thách thức cho các nhàquản trị.

Agroup of developers has released open-source software that givesadministrators a hand in making the Internet's addressing system lessvulnerable to hackers.

Thesoftware, called OpenDNSSEC, automates many tasks associated withimplementing DNSSEC (Domain Name System Security Extensions), whichis a set a set of protocols that allows DNS (Domain Name System)records to carry a digital signature, said John A. Dickinson, a DNSconsultant working on the project.

DNSrecords allow Web sites to be translated f-rom a name into an IP(Internet Protocol) address, which can be queried by a computer. Butthe DNS system has several flaws dating f-rom its original design thatare being increasingly targeted by hackers.

Bytampering with a DNS server, it's possible for a user to type in thecorrect Web site name but be directed to a fraudulent site, a type ofattack called cache poisoning. That's one of many concerns that isdriving a movement for ISPs and other entities running DNS servers touse DNSSEC.

WithDNSSEC, DNS records are cryptographically signed, and thosesignatures are verified to ensure the information is accurate.Adoption of DNSSEC, however, has been held back by both thecomplexity of implementation and a lack of simpler tools, Dickinsonsaid.

Tosign DNS records, DNSSEC uses public key cryptography, whe-resignatures are cre-ated using a public and private key and implementedon a zone level. Part of the problem is management of those keys,since they must be refreshed periodically to maintain a high level ofsecurity, Dickinson said. A mistake in managing those keys couldcause major problems, which is one of the challenges foradministrators.

OpenDNSSEC cho phép cácnhà quản trị tạo ra các chính sách và sau đó tự độnghoá việc quản trị các khoá và ký các bản ghi,Dichkinson nói. Quá trình này bây giờ hiện nay liên quantới sự can thiệp nhiều bằng tay, mà nó làm gia tăng khảnăng mắc lỗi.

OpenDNSSEC ”chăm sóccho việc đảm bảo rằng vùng này được ký một cáchthích hợp và đúng đắn theo chính sách trên một cơ sởvĩnh viễn”, Dickinson nói. “Tất cả những thứ đóđược tự động hoá hoàn toàn sao cho người quản trịcó thể tập trung vào làm việc với DNS và để công việcan ninh vào phần nền tảng”.

Phần mềm này cũngcó một tính năng lưu trữ khoá mà nó cho phép các quảntrị viên giữ các khoá trong hoặc là một module phầncứng hoặc phần mềm an ninh, một lớp bổ sung bảo vệmà nó đảm bảo không kết thúc trogn những bàn tay tồi,Dickinson nói.

OpenDNSSEC, phần mềmnày sẵn sàng để tải về, dù nó đang được chào nhưmột công nghệ xem trước và sẽ chưa sử dụng được,Dickinson nói. Các lập trình viên sẽ tập hợp các ý kiếnphản hồi về công cụ này và tung ra các phiên bản đượccải thiện trong tương lai gần.

Đầu năm nay, hầuhết các tên miền mức cao nhất, như những thứ có đuôilà “.com”, đã không được ký có mã hoá, và cũngkhông có trong vùng gốc root DNS, nên danh sách chủ củanơi mà các máy tính có thể tới để tra một địa chỉtrong một miền cụ thể. VeriSign, mà là nơi đăng ký cho“.com” đã nói trong tháng 02 là hãng sẽ triển khaiDNSSEC ở khắp các miền mức đỉnh bao gồm cả .com vàonăm 2011.

OpenDNSSECallows administrators to cre-ate policies and then automate managingthe keys and signing the records, Dickinson said. The process nowinvolves more manual intervention, which increases the chance forerrors.

OpenDNSSEC"takes care of making sure that zone stays signed properly andcorrectly according to the policy on a permanent basis,"Dickinson said. "All of that is completely automated so that theadministrator can concentrate on doing DNS and let the security workin the background."

Thesoftware also has a key storage feature that lets administrators keepkeys in either a hardware or security software module, an additionallayer of protection that ensure keys don't end up in the wrong hands,Dickinson said.

TheOpenDNSSEC software is available for download,although it is being offered as a technology preview and shouldn't beused yet in production, Dickinson said. Developers will gatherfeedback on the tool and release improved versions in the nearfuture.

Asof earlier this year, most top-level domains, such as those ending in".com," were not cryptographically signed, and neither werethose inthe DNS root zone, the master list of whe-re computers can go to lookup an address in a particular domain. VeriSign, which is the registryfor ".com," said in February it will implement DNSSECacross top-level domains including .com by 2011.

Các tổ chức kháccũng chuyển hướng sang sử dụng DNSSEC. Chính phủ Mỹ đãcam kết sử dụng DNSSEC cho tên miền “.gov” của mình.Các nhà vận hành ccTLD (Các miền mức đỉnh theo mã quốcgia) tại Thuỵ Điển (.se), Brazil (.br), Puerto Rico (.pr) vàBulgaria (.bg), cũng đang sử dụng DNSSEC.

Các chuyên gia an ninhtranh luận rằng DNSSEC phải được sử dụng sớm hơn thìtốt hơn vì đối với các chỗ dễ bị tổn thương hiênnay trong DNS. Một trong những lý do nghiêm trọng hơn đãđược hé lộ bởi nhà nghiên cứu an ninh Dan Kaminsky vàotháng 07/2008. Ông đã chỉ ra rằng các máy chủ DNS có thểnhanh chóng bị điền đầy với các thông tin không chínhxác, mà nó có thể được sử dụng cho một loạt cáccuộc tấn công trong các hệ thống thư điện tử, các hệthống cập nhật phần mềm và các hệ thống phục hồimật khẩu trên các website.

Trong khi chờ đợicác bản vá được triển khai, mà đây không là một giảipháp lâu dài khi nó chỉ mất thời gian nhiều hơn đểthực hiện một cuộc tấn công, theo một sách trắng đượcxuất bản đầu năm nay bởi SurfNet, một nghiên cứu củaĐức và tổ chức giáo dục. SurfNet là một trong nhữngngười ủng hộ OpenDNSSEC, mà cũng đưa “.uk” đăng kýNominet, Nlnet Labs và SIDN, đăng ký của “.nl”.

Trừ phi DNSSEC đượcsử dụng, nếu không “lỗi cơ bản trong Hệ thống TênMiền – mà không có cách nào đảm bảo rằng các câutrả lời cho các câu hỏi là chính xác – vẫn bị giữnguyên”, tài liệu nói.

Otherorganizations are also moving toward using DNSSEC. The U.S.government has committed to using DNSSEC for its ".gov"domain. Other ccTLDs (country-code Top-Level Domains) operators inSweden (.se), Brazil (.br), Puerto Rico (.pr) and Bulgaria (.bg), arealso using DNSSEC.

Securityexperts argue that DNSSEC should be used sooner rather than later dueto existing vulnerabilities in DNS. One of the more serious ones wasrevealed by security researcher Dan Kaminsky in July 2008. He showedthat DNS servers could be quickly filled with inaccurate information,which could be used for a variety of attacks on e-mail systems,software updating systems and password recovery systems on Web sites.

Whiletemporary patches have been deployed, it's not a long-term solutionsince it just takes longer to perform an attack, according to a whitepaper published earlier this year by SurfNet, a Dutch researchand education organization. SurfNet is among OpenDNSSEC's backers,which also includes the ".uk" registry Nominet, NLnet Labsand SIDN, the ".nl" registry.

UnlessDNSSEC is used, "the basic flaw in the Domain Name System --that there is no way to ensure that answers to queries are genuine --remains," the paper said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com