Правительство США переводит домен .gov на DNSSEC

10.03.2009

"28 февраля 2009 года, после успешного завершения программы тестирования, новый протокол DNSSEC был введен в рабочую эксплуатацию на правительственном домене .gov" сообщило Управление служб общего назначения США (GSA), являющееся ответственным за данную программу.

Подписание домена  состоялось на месяц позже запланированного срока, установленного Административно-бюджетным управлением США (OMB). Срок завершения проекта был передвинут после того, как представители GSA обнаружили в ходе тестирования, что для использования программного обеспечения DNSSEC необходимо реализовать еще одну функцию безопасности.

"Открытый ключ DNSSEC домена .gov был зарегистрирован 28 февраля в репозитарии Internet Assigned Numbers Authority (IANA) Interim Trust Anchor Repository (iTAR) и стал доступен для проверки подлинности домена .gov," заявило GSA в своем сообщении. "Домен верхнего уровня .gov теперь рассматривается в качестве активной зоны подписанной DNSSEC."

Следующим шагом американского правительства по повышению безопасности своих DNS сервисов станет развертывание до конца года DNSSEC в органах власти на соответствующих доменах второго уровня, таких как gsa.gov.

Изобретенный 26 лет назад протокол DNS отображает доменные имена на IP адреса и служит основой для почти всех Интернет активностей. DNS в свое время заменил систему именования, которая называлась Таблица Хостов (Host Table), появившуюся в сети Arpanet - прародителе Интернет, предшествовавшей появлению TCP/IP. Централизовано управляемый файл, поддерживаемый Сетевым информационным центром (Network Information Center) в Стэнфордском университете (Stanford University) обновлялся каждую неделю (или около того) для поддержания отображения между именами хостов и их расположением в сети.

Такой подход был адекватен для эпохи зарождения компьютерных сетей, однако, когда Интернет начал расти этого стало недостаточно. DNS - это распределенная иерархическая схема, которая позволяет каждому получить отображения адресов (address look-ups) без необходимости иметь собственную копию базы имен.

Система DNS успешно масштабировалась и отвечала потребностям Интернет сообщества до поры до времени, однако, также как и прочая инфраструктура Интернет, она была построена без учета требований безопасности. Уже довольно давно были известны слабости DNS, связанные с возможностями хакеров "заражать" DNS кэши для перенаправления на другие адреса, но только в июле прошлого года было объявлено о серьезной уязвимости, которая требовала принятия более экстренных мер по усилению защиты.

DNSSEC позволяет подписывать DNS-запросы и ответы средствами электронной подписи, что позволяет их аутентифицировать и затрудняет их подделку и какие-либо манипуляции. Однако для того, чтобы система работала, протокол DNSSEC должен использоваться обеими сторонами, участвующими в обмене информацией. Ожидается, что внедрение этого протокола во всем пространстве имен .gov будет способствовать расширению границ его использования. В конце 2006 года новые федеральные требования информационной безопасности предписывали органам власти использовать подписи DNSSEC на DNS серверах, которые классифицировались как средне или высоко критичные информационные системы. Однако внедрений было немного, отчасти потому, что большая часть серверов классифицировалось как некритичные, а отчасти из-за того, что эксплуатация DNS осложнялась необходимостью управления криптографическими ключами и цифровыми подписями, срок действия которых ограничивался одним месяцем.

После обнаружения июльской уязвимости, OMB выпустило меморандум, предписывающий начать использование DNSSEC в домене верхнего уровня .gov в январе 2009 года.

"Данная политика требует, чтобы домен верхнего уровня .gov был подписан DNSSEC, а также были разработаны процессы, позволяющие осуществлять делегирование поддоменов," говориться в меморандуме. "Подписание домена верхнего уровня .gov является критической процедурой, необходимой для широкого внедрения DNSSEC и облегчения его внедрения на более низких уровнях в органах власти."

Национальный Институт Стандартов и Технологий США (NIST) внес исправления в свои инструкции по внедрению DNSSEC в специальной публикации SP 800-81, "Руководство по развертыванию защищенной системы доменных имен (Secure Domain Name System Deployment Guide)." Основные шаги по развертыванию DNSSEC , согласно данной инструкции, включают в себя следующее:

• Установить совместимую с DNSSEC версию сервера DNS;
• Проверить файл зон (zone file) на предмет наличия ошибок;
• Сгенерировать ассиметричную пару ключей для каждой зоны и и добавить их в файл зоны;
• Подписать зону;
• Загрузить подписанную зону на сервер;
• Настроить сервер имен для использования DNSSEC и
• Опционально, отправить копию открытого ключа родительскому серверу для безопасного делегирования.

Поскольку развертывание и сопровождение DNSSEC на предприятии является непростой задачей, NIST запустил новый пилотный проект Secure Naming Infrastructure Pilot (SNIP), чтобы предоставить администраторам возможность попрактиковаться в сопровождении и подписании DNS зон в реальной сети. SNIP является совместным проектом NIST, Департамента Национальной Безопасности (HSD) и Sparta Inc. of Arlington, Va. SNIP предоставляет тестовый домен, который можно использовать для зеркалирования текущих DNS операций участников проекта и изучения того, какое влияние DNSSEC оказывает на эти операции и на производительность DNS серверов.

William Jackson, gcn.com