DNSViz: Intiimi näkymä verkkosivuston DNS-tietoturvalle

Domain Name System (DNS) - välitysmenetelmä, joka auttaa numerohaasteisiin ihmisiä käyttämään Internetiä - on vakavissa, vakavissa vaikeuksissa. En voinut kertoa, kaikki näyttää hyvältä. Kirjoita TechRepublic.com-sivustoon ja selain hakee maagisesti TechRepublic-verkkosivun.

Mikä on ongelma?

Mene TechRepublicin sijaan Internet-pankkisivustolle. Mieti nyt tätä; Mistä tiedät, että se on tosi paljon? Entä jos se on kopio? Pahojen kavereiden suunnittelema sellainen, jolla voidaan kaapata näppäinpainalluksia ja kuvakaappauksia - erityisesti kirjautumistietoja.

Päivitys (17. tammikuuta 2012): Luin juuri Brian Krebsin blogiviestin, jossa hän keskustelee sovelluksesta nimeltä Simple Phishing Toolkit ja kuinka se yksinkertaistaa "phishing-sivuston" perustamista.

"Työkalupakki täyttää nimensä: Se on erittäin helppo asentaa ja käyttää. WampServer - ilmaisen ohjelmistopaketin, joka sisältää Apache, PHP ja MySQL - kopion käyttäminen pystyin asentamaan työkalupakin ja luomaan Gmail-kalastelukampanjan alle viisi minuuttia. "

Työkalupakki on suunniteltu kouluttamaan työntekijöitä välttämään vääriä verkkosivustoja, jotka pyytävät arkaluontoisia henkilökohtaisia ​​tietoja. On vain ajan kysymys, ennen kuin ilkeät tyypit myös alkavat käyttää työkalupakkia.

DNSSEC

Asiantuntijat ympäri maailmaa työskentelevät ahkerasti ratkaistakseen ongelmat, kuten väärät ohjaukset haitallisille verkkosivustoille. Yksi ratkaisu eturintamassa on Domain Name System Security Extensions (DNSSEC), varmennusmenetelmä, joka käyttää julkisen avaimen infrastruktuuria (PKI).

Valitettavasti DNSSEC on uskomattoman vaikea ymmärtää ja toteuttaa. Siksi todennäköisesti vain pieni osa yrityksistä on sisällyttänyt DNSSEC: n, vaikka se on ollut käytettävissä .com-verkkotunnuksessa huhtikuusta 2011 lähtien.

Joten miten tietää, käyttääkö verkkosivusto DNSSEC: ää. Yksi tapa on käyttää Verisign Labsin DNSSEC-testisivustoa - ironista, tiedän. Seuraava kuvakaappaus näyttää testitulokset sivustolle www.TechRepublic.com.

Voit nähdä, että verkkotunnus techrepulic.com ei käytä DNSSEC: ää punaisista X: istä "Ei DS-tietueita" ja "Ei DNSKEY-tietueita". Seuraavassa kuvakaappauksessa näytetään sivuston www.Sandia.gov testitulokset.

Sandia National Laboratories -sivusto käyttää DNSSEC: ää, luultavasti johtuen hallituksen mandaatista, jonka mukaan kaikki .gov-ylimmän tason verkkotunnukset on suojattava DNSSEC: llä.

Emme kuitenkaan ole vielä valmiita. On jotain muuta harkittavaa. Muistatko mainitsemani DNSSECin monimutkaisuuden? No, Dr. Casey Deccio, Sandia National Laboratories -yrityksen tietotekniikan asiantuntija, on yhtä mieltä (Homeland Security Newsin suosituksesta):

"DNSSEC on vaikea määrittää oikein, ja sitä on säännöllisesti ylläpidettävä. Se lisää huomattavasti IT-järjestelmien monimutkaisuutta. Jos se määritetään väärin tai asennetaan palvelimille, jotka eivät ole täysin yhteensopivia, se estää käyttäjiä pääsemästä .gov-sivustoille. vain saada virhevastauksia. "

DNSViz

DNSSEC-ongelmien ratkaisemiseksi Casey kehitti verkkopohjaisen työkalun nimeltä DNSViz:

"Se tarjoaa visuaalisen analyysin verkkotunnuksen DNSSEC-todennusketjusta ja sen erottelupolusta DNS-nimitilassa, joka on saatavana verkkoselaimen kautta mille tahansa Internet-käyttäjälle.

Se korostaa ja kuvaa työkalun havaitsemia kokoonpanovirheitä, joiden avulla järjestelmänvalvojat voivat tunnistaa ja korjata DNSSEC-liittyviä määritysongelmia. "

Voidaan sanoa, että nämä asiat ovat monimutkaisia, en saanut DNSViz-hienoja tietoja, puhumattakaan DNSSECistä. Joten otin yhteyttä Caseyyn ja kysyin muutamia kysymyksiä.

Kassner : Miksi sinusta tuntui tarve luoda DNSViz? Deccio : Ei ole salaisuus, että DNS on luonnostaan ​​epävarma. DNSSEC on pääyhteisön pyrkimys turvata DNS. Se, että se lisää säännölliseen DNS: ään, ei kuitenkaan ole triviaalia sekä ymmärtämisen että käyttöönoton kannalta. Ilman jotain tämän monimutkaisuuden ratkaisemiseksi, DNSSEC-käyttöönotto voi olla tainnutettu joko siksi, että se näyttää liian suurelta pureelta nieltäväksi yrityksille ja muille yhteisöille, joista muuten voisi olla hyötyä, tai johtuen siitä, että sitä ei voida käyttää oikein.

DNSVizin tarkoituksena oli poistaa osa voodooista DNSSEC: stä ja tehdä siitä ymmärrettävämpi niille, jotka työskentelevät sen kanssa läheisimmin tekniikan ja toiminnan puolella. Se osoittaa visuaalisesti DNSSEC: n myös niille, jotka työskentelevät vähemmän läheisesti sen kanssa, mutta jotka voivat silti arvostaa kauniita kuvia.

Kassner : Mitkä ehdot merkitsevät tarvetta testata verkkosivusto tai muu online-läsnäolo? Deccio : DNSViz tarjoaa yhdellä silmäyksellä tietoturvan, jota TechRepublic-verkkotunnus tarjoaa - toisin sanoen onko DNS-ratkaisijoilla tapa vahvistaa TechRepublic-verkkotunnukselle hakemansa vastauksen oikeellisuus vai ei. Kuten useimmissa yrityksissä, TechRepublicissa ei ole käytössä DNSSEC: tä, joten se osoittaa "epävarmaa".

On olemassa kolme ensisijaista syytä, miksi joku saattaa käyttää DNSViz-palvelua verkkotunnuksensa analysointiin:

  • Voit nähdä, missä verkkotunnus tällä hetkellä seisoo sen DNSSEC-tilan suhteen.
  • Yhden mahdollisen DNSSEC-ylläpidon kanssa, mukaan lukien alkuperäinen käyttöönotto, mielenterveyden tarkistuksena.
  • DNSSEC-liittyvien verkkotunnuksen ongelmien vianmääritys.
Kassner: Kirjoitan www.TechRepublic.com DNSViz-tiedostoon ja napsautin Siirry-painiketta. Mitä sitten tapahtuu? Deccio : DNSViz tuottaa graafisen esityksen DNSSEC "luottamusketjuista" osoitteelle www.TechRepublic.com sen viimeisen kerran analysoinnin näkökulmasta. Jos käytät Firefox- tai Opera-selaimia, siirtäminen eri kuvaajakomponenttien päälle tuottaa lisätietoja valituista komponenteista. Nimet analysoidaan uudelleen säännöllisin väliajoin, ja haluttaessa ne voidaan analysoida nimenomaisesti uudelleen pyynnöstä. Kassner : Testasin www.TechRepublic.com. Tässä ovat tulokset. Voisitko kuvailla mitä katsomme?

Deccio : Yksi mielenkiintoisimmista asioista DNSSEC: ssä on epävarmuus, joka on osoitettava erityisesti ylhäältä alas. TechRepublic.com-sivuston tulos on täydellinen esimerkki. Ainoa syy, jonka avulla validoiva DNSSEC-asiakas hyväksyy allekirjoittamattoman tai tässä yhteydessä laittomasti allekirjoitetun vastauksen TechRepublic.comille, on se, että com-alue tarjoaa tietueita (NSEC3), jotka todistavat, että avaimia ei ole käytettävissä TechRepublic.com-nimien vahvistamiseen., sikäli kuin com on tietoinen.

Luottamusketju ulottuu ylhäältä olevasta luottamusankkurista (merkitty kaksinkertaisella reunalla) alaspäin kom-vyöhykkeen läpi ja päättyy NSEC3-solmujen kanssa. Koska ketju on valmis näiden NSEC3-solmujen läpi, validoiva ratkaisija tietää, että se ei voi väittää mitään TechRepublic.com-vastauksen turvallisuudesta. Täten kyseisen verkkotunnuksen tietueet on merkitty "epävarmoiksi".

Kassner : Mitä tarkoittaa, jos verkkotunnus epäonnistuu testissäsi? Deccio : DNSViz on tarkoitettu korostamaan ongelmia verkkotunnuksen kokoonpanossa. Jos joitain virheitä tai varoituksia esiintyy, ne yleensä ilmaisevat epäjohdonmukaisuuksia, jotka johtuvat huollon laiminlyönnistä, yhteensopimattomuudesta tai vääristä kokoonpanoista. Verkkotunnuksen operaattorin on tehtävä jotain tällaisten ongelmien korjaamiseksi.

DNSViz ei missään nimessä ole lopputuote. Toivon tulevaisuudessa tarjoavan lisäapua työkalun havaitsemien ongelmien ratkaisemiseksi, sisältäen historiallisen analyysin, yleisiä nimien erotusongelmia ja joitain lisäominaisuuksia. Etsimme lisärahoitus- ja yhteistyömahdollisuuksia näiden laajennusten tekemiseksi mahdolliseksi ja tehdä DNSVizistä resurssikokoisempi työkalu. Kehotan organisaatioita, joilla on oikea tekninen asiantuntemus ja kiinnostuneita tällaiseen tietoturvavälineeseen, ottamaan minuun yhteyttä Sandiassa.

Kassner : Tunnen turhautumisen asiantuntijoiden keskuudessa, jotka panostavat valtavasti vaivaa yrittääkseen saada DNSSEC: n entistä täydellisemmäksi. Jaatko heidän huolensa? Deccio : DNSSEC: n tai muun asiaa koskevan tekniikan käyttöönotto vaatii sekä teknisen reitin että kannustimen. Teknisestä reitistä tuli totta, kun juurivyöhyke allekirjoitettiin vuonna 2010 ja muut tärkeät ylimmän tason verkkotunnukset.

Monet yritykset ja muut yhteisöt eivät ole vielä nähneet kannustinta käyttöönotolle. Koska olen perehtynyt käyttöönoton monimutkaisuuksiin, ymmärrän, että:

  • DNSSEC ei ole välttämättä kaikille - miksi aiheutuvat yleiskustannukset, jos verkkotunnuksen nettovoitot ovat pienet.
  • On monia, jotka voivat hyötyä DNSSEC-käyttöönotosta, mutta eivät ole pyrkineet jatkamaan sitä.

Mielestäni Internet-yhteisö voi oppia tästä muutamia asioita. On mahdollista, että DNS-tietoturvaratkaisut, joita meillä ei ole, eivät ole nykyisessä tilassaan miellyttäviä, ja kun ne kehittyvät - joko käytettävissä oleviin työkaluihin, protokolliin tai käyttöönottoon -, ne käyttävät niitä, jotka odottavat reunalla.

Vaikka kannustamme edelleen ihmisiä osallistumaan DNSSEC-käyttöönottoponnisteluihin, meidän on parannettava ja yksinkertaistettava nykyistä ratkaisumme.

Kassner : Olen kiinnostunut siitä, miksi ihmiset tulevat intohimoisiksi tiettyyn tekniikkaan, etenkin haastavaan tekniikkaan, kuten DNS-tietoturva. Mikä tällä alalla tarttui kiinnostukseesi jatkaaksesi sitä niin voimakkaasti? Deccio : DNS : ssä on paljon avoimia ongelmia, ja yhteisö on varsin aktiivinen, vaikka DNS on yli 25 vuotta vanha. Kenttä on riittävän avoin hyödyntämään akateemista tutkimusta sekä tekniikkaa; ja molempien alueiden ratkaisut koskevat todellista ongelmaa, joka vaikuttaa kaikkiin Internetin käyttäjiin.

Lopulliset ajatukset

Halusin mainita, että Sandia National Laboratories julkaisi videon viestintäjohtaja Mike Janesista haastattelemassa Caseyä. Video käy läpi DNSVizin läheisyydet.

Tarvitaan DNSSEC tai jotain vastaavaa. Muuten olosuhteet huononevat pisteeseen, jossa kukaan ei luota Internetiin. Casey Deccion kaltaisten DNS-asiantuntijoiden ponnistelujen avulla ehkä useammat yritykset alkavat toteuttaa DNSSEC: ää.

© Copyright 2020 | mobilegn.com