Система DNSSEC: актуальные проблемы

Система доменных имен (DNS) является эффективной адресной книгой, путеводителем по Интернету; она дает возможность выбирать имена вебсайтов, которые соответствуют зарегистрированным IP адресам этих сайтов. Но незаконное изменение информационных запросов в сети может указывать конечным пользователям или сервисам жульнические IP-адреса и перенаправлять их на незаконно действующие серверы в целях кражи данных. Результатом будет даже более незаметное внедрение, чем традиционная фишинг-атака, поскольку пользователей автоматически перенаправляют на фальшивые сайты, а не играют с ними трюки посредством вредоносных писем и других сообщений по электронной почте. Из-за того, что эти угрозы могут повредить как клиентам, так и предприятиям бизнеса, структура безопасности системы DNS уже сейчас привлекла к себе повышенное внимание. Структура «Расширения системы безопасности системы доменных имен» (DNSSEC) была создана в ответ именно на эту угрозу. Система DNSSEC – это механизм, который включает использование цифровых подписей и за счет этого дает возможность серверам идентифицировать и проверить целостность ответов системы DNS на информационные запросы в сети. 

Читать далее

Как и другие процессы добавления и проверки учетных данных и цифровых подписей, система DNSSEC действует как «цепь сертификатов», которая привязана к точке взаимного доверия, так что все стороны могут положиться на информацию, которая хранится безопасным образом и которой они совместно пользуются. В случае системы DNSSEC, этот якорь доверия размещается в домене верхнего уровня внутри каждого географического региона или сообщества (например, это такие расширения как .com, .gov, .co.uk), и этот якорь доверия должен находиться под максимально интенсивной защитой. Провайдеры Интернет-сервисов и предприятия, которые предоставляют внутренние услуги в системе DNS, действуют как звенья внутри цепи сертификатов, и каждое из звеньев должно оценивать соответствующий уровень защиты по мере применения им своих собственных возможностей в рамках системы DNSSEC. Но ни одна организация категорически не желает быть на вершине этой цепи, где взломщик может успешно внедриться в эту систему.

Скрыть раздел

Риски

  • Взломщики, получающие доступ к процессу DNS, могут заманивать клиентов на сайт, который выглядит так, словно он ваш, и обманом заставлять их предоставлять приватную информацию.
  • Поскольку можно выполнить систему DNSSEC в пакетах программ, то взломщики могут получить доступ к ключам для проставления цифровых подписей и подвергнуть опасности процесс информационного запроса, обращенный к системе DNS. 

Система DNSSEC: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security, с высокой надежностью могут помочь вам применить процесс DNSSEC, который защитит ваш бизнес и информацию ваших клиентов , и в то же время даст возможность вести ваш бизнес на той скорости и с той производительностью, которых он требует. Аппаратные защитные модули (HSMs) модели nShield позволят действовать в качестве доменов высшего уровня (TLDs), реестров, регистраторов и предприятий бизнеса, чтобы обезопасить критически важные процессы добавления цифровых подписей, используемые для проверки целостности ответов системы DNSSEC повсеместно в Интернете, и защитить систему DNS от атак особого типа, которые обычно называют термином «отравление кеша» (повреждение целостности данных в системе DNS) и «человек посередине» (перехват канала связи с получением полного доступа к передаваемой информации). Модули HSM дают преимущества за счет использования проверенных и поддающихся аудиту способов обеспечения безопасности, позволяя должным образом выполнять генерацию и хранение ключей для цифровых подписей; это гарантирует целостность процесса проверки надежности в системе DNSSEC. 

Преимущества:

  • Решения компании Thales обеспечивают целостность процесса проверки в системе DNSSEC с помощью независимо сертифицированных модулей HSM (стандарты FIPS 140-2 уровень 3 и «Общие критерии»EAL4+).
  • Поддерживают неприкосновенность границ стойких к вмешательству аппаратных средств и проверенный поддающийся аудиту механизм для защиты ценных ключей цифровых подписей, даже когда они архивированы.
  • Обеспечивают разделение обязанностей с помощью строгого контроля доступа и тем самым позволяют снизить угрозу «супер-пользователей» (например, администраторов системы) и облегчить соблюдение нормативов и стандартов безопасности.
  • Достигают высоких уровней доступности и улучшенной производительности сервера системы DNS с нелимитированным хранением ключей, безопасным созданием резервных копий и восстановлением информации и мощным криптографическим ускорением.

DNSSEC
Download сводка разрешения DNSSEC