DNSViz: Quan điểm thân mật về bảo mật DNS của trang web

Hệ thống tên miền (DNS) - công nghệ trọng tài giúp những người gặp khó khăn về số lượng sử dụng Internet - đang gặp rắc rối nghiêm trọng. Không thể nói với tôi, mọi thứ dường như tốt đẹp. Nhập vào TechRepublic.com và trình duyệt web truy xuất một cách kỳ diệu trang web của TechRepublic.

Có vấn đề gì vậy?

Thay vì TechRepublic, hãy truy cập trang web ngân hàng Internet của bạn. Bây giờ hãy xem xét điều này; Làm thế nào để bạn biết đó là thỏa thuận thực sự? Nếu đó là bản sao thì sao? Một thiết kế bởi kẻ xấu để chụp tổ hợp phím và ảnh chụp màn hình - cụ thể là thông tin đăng nhập.

Cập nhật (17 tháng 1 năm 2012): Tôi vừa đọc một bài đăng trên blog của Brian Krebs nơi anh ấy thảo luận về một ứng dụng có tên Simple Phishing Toolkit và cách đơn giản hóa việc thiết lập một "trang web lừa đảo".

"Bộ công cụ đúng với tên gọi của nó: Việc cài đặt và sử dụng cực kỳ đơn giản. Sử dụng bản sao của WampServer - gói phần mềm miễn phí bao gồm Apache, PHP và MySQL - Tôi đã có thể cài đặt bộ công cụ và tạo chiến dịch lừa đảo Gmail trong chưa đầy năm phút. "

Bộ công cụ được thiết kế để giáo dục nhân viên tránh các trang web giả mạo đang lừa đảo để lấy thông tin cá nhân nhạy cảm. Chỉ là vấn đề thời gian trước khi các loại khó chịu cũng bắt đầu sử dụng bộ công cụ.

DNSSEC

Các chuyên gia trên toàn thế giới đang nỗ lực để giải quyết các vấn đề như định hướng sai cho các trang web độc hại. Một giải pháp đi đầu là Phần mở rộng bảo mật hệ thống tên miền (DNSSEC), một phương thức xác minh bằng Cơ sở hạ tầng khóa công khai (PKI).

Đáng buồn thay, DNSSEC là vô cùng khó hiểu và thực hiện. Đó có lẽ là lý do tại sao chỉ có một tỷ lệ nhỏ các công ty hợp nhất DNSSEC, mặc dù nó đã có sẵn cho tên miền .com kể từ tháng 4 năm 2011.

Vì vậy, làm thế nào để biết một trang web đang sử dụng DNSSEC. Một cách là sử dụng trang web thử nghiệm DNSSEC - mỉa mai, tôi biết - bởi Verisign Labs. Ảnh chụp màn hình bên dưới hiển thị kết quả kiểm tra cho www.TechRepublic.com.

Bạn có thể thấy tên miền techrepulic.com không sử dụng DNSSEC từ các chữ X màu đỏ bằng "Không có bản ghi DS" và "Không có bản ghi DNSKEY". Ảnh chụp màn hình tiếp theo hiển thị kết quả kiểm tra cho www.Sandia.gov.

Trang web của Phòng thí nghiệm quốc gia Sandia đang sử dụng DNSSEC, có lẽ do chính phủ yêu cầu rằng tất cả các tên miền cấp cao nhất .gov phải được bảo mật bằng DNSSEC.

Chúng tôi chưa hoàn thành, mặc dù. Có một cái gì đó khác để xem xét. Hãy nhớ tôi đã đề cập đến sự phức tạp của DNSSEC? Vâng, Tiến sĩ Casey Deccio, nhà khoa học máy tính của Phòng thí nghiệm quốc gia Sandia đồng ý (lịch sự của Tin tức an ninh nội địa):

"DNSSEC khó có thể cấu hình chính xác và phải bảo trì thường xuyên. Nó làm tăng thêm sự phức tạp cho các hệ thống CNTT và nếu được cấu hình không đúng hoặc được triển khai trên các máy chủ không tương thích hoàn toàn, nó sẽ ngăn người dùng truy cập các trang web .gov. chỉ nhận được phản hồi lỗi. "

DNSViz

Để giúp giải quyết các vấn đề về DNSSEC, Casey đã phát triển một công cụ dựa trên web có tên DNSViz:

"Nó cung cấp một phân tích trực quan về chuỗi xác thực DNSSEC cho một tên miền và đường dẫn phân giải của nó trong không gian tên DNS, được cung cấp qua trình duyệt Web cho bất kỳ người dùng Internet nào.

Nó nêu bật và mô tả các lỗi cấu hình được phát hiện bởi công cụ để hỗ trợ quản trị viên xác định và khắc phục các sự cố cấu hình liên quan đến DNSSEC. "

Người ta có thể nói rằng công cụ này rất phức tạp, tôi đã không nhận được sự phức tạp của DNSViz, chứ đừng nói đến DNSSEC. Vì vậy, tôi đã liên lạc với Casey và hỏi một vài câu hỏi.

Kassner : Tại sao bạn cảm thấy cần phải tạo DNSViz? Deccio : Không có gì bí mật rằng DNS vốn không an toàn. DNSSEC là nỗ lực cộng đồng chính thống để bảo mật DNS. Tuy nhiên, sự phức tạp mà nó thêm vào DNS thông thường là không tầm thường, từ góc độ của cả sự hiểu biết và triển khai. Nếu không có gì để giúp giải quyết sự phức tạp này, việc triển khai DNSSEC có thể bị cản trở, bởi vì nó dường như quá lớn để nuốt các doanh nghiệp và các thực thể khác có thể có lợi, hoặc do không vận hành đúng cách.

DNSViz đã có ý định đưa một số voodoo ra khỏi DNSSEC và làm cho nó dễ hiểu hơn đối với những người làm việc chặt chẽ nhất với nó về mặt kỹ thuật và hoạt động. Nó cũng trực quan chứng minh DNSSEC cho những người làm việc ít thân mật với nó, nhưng những người vẫn có thể đánh giá cao một bức tranh đẹp.

Kassner : Những điều kiện nào sẽ báo hiệu sự cần thiết phải kiểm tra một trang web hoặc sự hiện diện trực tuyến khác? Deccio : DNSViz cung cấp cái nhìn tổng quan về bảo mật mà miền TechRepublic cung cấp - nghĩa là, liệu trình phân giải DNS có cách xác thực tính chính xác của phản hồi mà họ đã truy xuất cho miền TechRepublic hay không. Giống như phần lớn các công ty, TechRepublic không có DNSSEC được triển khai, do đó, nó cho thấy "không an toàn".

Có ba lý do chính khiến ai đó có thể sử dụng DNSViz để phân tích tên miền của họ:

  • Để xem tên miền hiện đang đứng ở đâu, xét về trạng thái DNSSEC của nó.
  • Kết hợp với bất kỳ bảo trì DNSSEC nào, bao gồm triển khai ban đầu, dưới dạng kiểm tra vệ sinh.
  • Để khắc phục sự cố liên quan đến DNSSEC với tên miền.
Kassner : Tôi nhập www.TechRepublic.com vào DNSViz và nhấp vào Go. Điều gì xảy ra sau đó? Deccio : DNSViz sẽ tạo ra một đại diện đồ họa của "chuỗi tin cậy" DNSSEC cho www.TechRepublic.com, từ quan điểm của lần cuối cùng được phân tích. Nếu sử dụng trình duyệt Firefox hoặc Opera Web, việc di chuyển qua các thành phần biểu đồ khác nhau sẽ dẫn đến thông tin bổ sung được hiển thị về các thành phần được chọn. Tên được phân tích lại trên cơ sở định kỳ và có thể được phân tích lại một cách rõ ràng theo yêu cầu, nếu muốn. Kassner : Tôi đã thử nghiệm www.TechRepublic.com. Đây là kết quả. Bạn vui lòng mô tả những gì chúng tôi đang xem xét?

Deccio : Một trong những điều thú vị nhất về DNSSEC là sự không an toàn phải được chứng minh - cụ thể là từ trên xuống. Đầu ra của TechRepublic.com là một ví dụ hoàn hảo. Lý do duy nhất để khách hàng DNSSEC xác thực sẽ chấp nhận ký không được ký - hoặc ký bất hợp pháp, cho vấn đề đó - phản hồi cho TechRepublic.com là vì vùng com cung cấp hồ sơ (NSEC3) chứng minh rằng không có khóa nào có sẵn để xác thực tên TechRepublic.com, theo như com nhận thức được.

Chuỗi tin cậy kéo dài từ mỏ neo tin cậy ở trên cùng (được xác định bởi đường viền kép), xuyên qua vùng com và chấm dứt với các nút NSEC3. Vì chuỗi hoàn thành thông qua các nút NSEC3 đó, trình giải quyết xác thực biết rằng nó không thể xác nhận bất cứ điều gì về tính bảo mật của phản hồi cho TechRepublic.com. Do đó, hồ sơ trong miền đó được dán nhãn là "không an toàn".

Kassner : Điều đó có nghĩa là gì nếu một tên miền thất bại trong bài kiểm tra của bạn? Deccio : DNSViz nhằm làm nổi bật các vấn đề với cấu hình của một tên miền. Nếu một số lỗi hoặc cảnh báo xuất hiện, chúng thường biểu thị sự không nhất quán do bỏ bê bảo trì, không tương thích hoặc cấu hình sai. Một cái gì đó phải được thực hiện trên một phần của nhà điều hành tên miền để khắc phục các vấn đề như vậy.

DNSViz hoàn toàn không phải là một sản phẩm hoàn chỉnh. Trong tương lai, tôi hy vọng sẽ cung cấp các công cụ hỗ trợ bổ sung để giải quyết mọi vấn đề được phát hiện bởi công cụ, bao gồm phân tích lịch sử, giải quyết các vấn đề giải quyết tên chung và một số tính năng bổ sung. Chúng tôi đang tìm kiếm các cơ hội hợp tác và tài trợ bổ sung để biến những tiện ích mở rộng này thành có thể và biến DNSViz trở thành một công cụ tài nguyên hơn. Tôi sẽ mời các tổ chức có chuyên môn kỹ thuật phù hợp và quan tâm đến loại công cụ bảo mật này liên hệ với tôi tại Sandia.

Kassner : Tôi cảm thấy thất vọng trong số các chuyên gia đang nỗ lực hết sức để cố gắng đưa DNSSEC kết hợp đầy đủ hơn. Bạn có chia sẻ mối quan tâm của họ? Deccio : Triển khai DNSSEC, hoặc bất kỳ công nghệ nào khác cho vấn đề đó, đòi hỏi cả con đường kỹ thuật và khuyến khích. Con đường kỹ thuật đã trở thành hiện thực với việc ký kết năm 2010 của vùng gốc và ký kết các tên miền cấp cao chính khác.

Nhiều doanh nghiệp và các thực thể khác vẫn chưa thấy sự khuyến khích để triển khai. Làm quen với sự phức tạp triển khai, tôi hiểu rằng:

  • DNSSEC không nhất thiết phải dành cho tất cả mọi người - tại sao phải chịu chi phí chung, nếu mức tăng ròng cho một tên miền là tối thiểu.
  • Có nhiều người có thể hưởng lợi từ việc triển khai DNSSEC, nhưng không đưa ra bất kỳ nỗ lực nào để tiếp tục triển khai nó.

Tôi nghĩ rằng cộng đồng Internet có thể học được một vài điều từ điều này. Có thể các giải pháp bảo mật DNS mà chúng tôi không thể chấp nhận được ở trạng thái hiện tại của chúng và khi chúng phát triển - trong các công cụ, giao thức hoặc triển khai có sẵn - chúng sẽ được chấp nhận bởi những người đang chờ đợi.

Mặc dù chúng tôi tiếp tục khuyến khích mọi người tham gia vào các nỗ lực triển khai DNSSEC, chúng tôi phải cải thiện và đơn giản hóa bộ giải pháp hiện tại của mình.

Kassner : Tôi quan tâm đến việc tại sao các cá nhân trở nên đam mê một công nghệ nhất định, đặc biệt là một thách thức như bảo mật DNS. Điều gì trong lĩnh vực này đã thu hút sự quan tâm của bạn đủ để theo đuổi nó mạnh mẽ như vậy? Deccio : Có rất nhiều vấn đề mở với DNS và cộng đồng khá tích cực, mặc dù DNS đã hơn 25 tuổi. Lĩnh vực này đủ mở để hưởng lợi từ nghiên cứu học thuật, cũng như kỹ thuật; và các giải pháp từ cả hai lĩnh vực giải quyết một vấn đề có thật và ảnh hưởng đến tất cả người dùng Internet.

Suy nghĩ cuối cùng

Tôi muốn đề cập rằng Phòng thí nghiệm quốc gia Sandia đã phát hành một video của nhân viên truyền thông Mike Janes phỏng vấn Casey. Video đi qua sự thân mật của DNSViz.

DNSSEC hoặc một cái gì đó tương tự là cần thiết. Nếu không, hoàn cảnh sẽ xuống cấp đến mức không ai tin tưởng vào Internet. Nhờ những nỗ lực của các chuyên gia DNS như Casey Deccio, có thể nhiều công ty sẽ bắt đầu triển khai DNSSEC.

© Copyright 2020 | mobilegn.com