DNS安全协议是否在浪费所有人的时间和金钱?
作者: 日期:2015年04月14日 阅:2,095

网络安全专家正对是否应该取消一项保护互联网域名系统的协议展开争论。

人们在1994年已经开发了DNSSec,但直到2008年,这一技术都没有受到认真对待。当时,一个域名系统中的bug使得攻击者可以通过“DNS缓存投毒”模仿任何服务器,不管是网页服务器还是Email主机。到今天,DNSSec存在了12年,而直到最近五年它才开始被用来保护互联网的根基。网络专家现在正在质疑,DNSSEC是否就不应该存在,特别是在考虑到使用它的大量成本时。

在年初发布的一篇博文上,Mastasano安全公司的创始人表示,DNSSEC弱小、不安全、不完整、没有存在必要、昂贵,而且是“由政府控制的”。市面上已经有了更好的DNS安全方案。这些方案基于浏览器,反向对域名服务器施加影响。他建议,公司应该“支持这些协议,让DNSSEC代码远离你的服务器”。

这样的言论是对一个发布时声称是“未来安全的基石”的协议的强烈反击。DNSSEC技术的主要支持者、第一个应用该协议并提供服务的公司:瑞典的.se顶级域名运营商认为有必要对本月围绕DNSSec价值的争论发表一些回应。

“我们收到了很多有关那篇博文的消息,我个人认为应当回应一下这些批评言论”,.se域名的安全主管表示。但她在文章中用到的最激烈言辞也只是“DNSSec有成为一个好的补充的潜力”。


.se安全主管Anne-Marie Eklund-Löwinder

到底发生了什么,又是为什么呢?DNSSec旨在确保众所周知并不安全的域名系统可以保证一定程度的权威性,也即确保你的通信对象并不是伪装的服务器。该协议是很久以前开发的,但因为它自身的技术复杂性和实现成本,直到一位研究人员发现了DNS的一个严重bug,它才突然变得流行起来。

这次的争论起源于Mastasano公司创始人在博文中提到的一个观点:DNSSec只是让攻击变得稍微难以实现了一点,它并不解决根本问题。而且如果公司的安全系统比较健全,比如使用数字证书,DNSSec并不会让整个体系更安全一点,而只是成为无用的累赘。

而且,DNSSec使用老旧的加密方案,可能成为政府监视行为危险的切入点。博文中提到的解决方案很简单,就是抛弃DNSSec,专注于一些能够提供更好安全性的系统,比如“key pinning”,可以抛弃对中心机构的依赖,只通过独立域名运营商进行通信。

中心机构并不能解决互联网上的信任问题,它们就是信用问题本身”。

 

在斯诺登曝光的NSA大规模监视项目文件中提到了很多花费大量资源来破坏安全设施的项目。博文中同样认为,DNSSec可能会被用于监视项目,截取全球网络数据。

DNSSev和包含它的技术DANE(DNS-based Authentication of Named Entities,基于DNS的名称实体验证)可能使人们被迫将手中的数据交给任何拥有顶级域名服务器的政府,因为这些政府具有权限。

.se域名安全主管将政府监视行为这类说法称为“妄想狂的偶然结论,而并不是基于相关可信分析得出的”。她想要概括DNSSec的好处。

她认为,尽管DNSSEC并不能彻底解决安全问题,它确实让入侵变得更加困难了,这个目的本身就值得提倡。

争议双方的共同点在于,都同意证书授权中心(CA)并不能提供合适的信用和安全等级。近年来有一系列针对证书的攻击,其中不乏直接对大型CA发起的攻击。因此有必要思考改善现状的方案,这是传统安全领域内的问题。各大CA在被攻击者成功入侵之后进行的损害控制各不相同,有些受影响的CA在被攻击后对外发布信息缓慢,也不恰当。它们所表现出的是缺乏危机管理的意识。

瑞典方面认为该问题的解决策略是通过DANE使用DNSSec检验证书本身是否被入侵。Mastasano方面则认为不应该使用DANE,而是通过独立个人或其它域名运营商提供额外的验证等级。

瑞典方面同样指出,使用DNSSec本身不需要添加其它代码,添加代码有可能也是添加了未来的漏洞。

Mastasano方面则认为,不论如何DNSSec都离完美相去甚远。有一个记录DNSSec失败的网页,上面的案例非常多。

互联网究竟会走向哪个方向呢,是DNSSec还是相反的路?现在下判断为时尚早,但考虑到最近的一千多台新型顶级域名都由于和域名监督方ICANN的协议,强制性装上了DNSSec,可以想见的是,尽管DNSSec可能会有很多问题,支持它的舆论声音在接下来的几年里会比较大。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章