5 мая система доменных имен перейдет на новый, более безопасный протокол DNSSEC. Однако это обновление может повлечь за собой утрату доступа к Интернету для некоторой части пользователей. По всей вероятности, для подавляющего большинства интернетчиков обновление пройдет гладко, однако расслабляться раньше времени не следует.
Отличие нового протокола состоит в том, что к обычным DNS-запросам будет добавляться цифровая подпись, что позволит уменьшить риск стать жертвой атак вроде так называемого "отравления кэша DNS".
Напомним, что в первой половине 2008 года эксперт по безопасности Дэн Камински обнаружил, что в результате определенных манипуляций злоумышленник может подменить информацию, сохраненную в кэше DNS-сервера. К примеру, заменив IP-адрес сервера, соответствующего доменному имени gmail.com, пользователей почтовой службы можно перенаправить на фишинговый сайт и собрать богатый урожай логинов и паролей.
Общими усилиями компаний Microsoft, Sun и Cisco к середине лета были выпущены исправления и эту дыру кое-как залатали. Нынешнее обновление протокола призвано решить эту проблему более радикальным образом.
Для начала новый протокол будет внедрен на 13 корневых серверах Интернета. Это может привести к тому, что все пользователи с несовместимым оборудованием (либо клиенты провайдеров с таким оборудованием) потеряют к доступ к некоторым сайтам и сервисам.
Причина состоит в том, что обмен информацией с DNS-серверами происходит по протоколу UDP, причем, совсем небольшими пакетами - размером до 512 байт. Пакеты же DNSSEC намного больше, и если сетевое оборудование сконфигурировано только для пакетов малого размера, проблем не избежать.
Эксперты опасаются, что трудности, в первую очередь, могут возникнуть на предприятиях с разветвленной инфраструктурой.
"Существует масса файерволов и прочего промежуточного оборудования, которое настраивалось лишь в расчете на UDP-пакеты размером до 512 байт, - говорит Кит Митчел, глава технического отдела Internet Systems Consortium, оператора корневого сервера. - По несколько раз в месяц мы получаем сообщения о проблемах, связанных с этим".
В ряде случаев, как отмечают эксперты, подобные устройства будут перенаправлять соответствующий трафик по протоколу TCP, что приведет увеличению потребления трафика и аппаратных ресурсов.
Чтобы оценить вероятность возникновения проблем, вы можете скачать специальное java-приложение. Указав адрес своего DNS-сервера и запустив проверку на размер пакета, вы узнаете, стоит ли вам впадать в панику уже сейчас или можно повременить до 5 мая.
Источник: Вебпланета
|