教你通过softether_vpn轻松访问家里面的内网以及环游世界,手机上的小飞机可以卸载了(双软路由爱快+LEDE)
一群开发者发布了开源软件,使管理员能够使互联网的寻址系统不易受到黑客的攻击。<
名为OpenDNSSEC的软件可以自动完成许多任务与实施DNSSEC(域名系统安全扩展)相关联,该协议是一套允许DNS(域名系统)记录携带数字签名的协议集合,该项目的DNS顾问John A. Dickinson说。
DNS记录允许将网站从名称转换为可由计算机查询的IP(互联网协议)地址。但是DNS系统有一些缺陷可以追溯到它的原始设计,而且越来越多的被黑客攻击。
[进一步阅读:如何从Windows PC删除恶意软件]通过篡改DNS服务器,用户输入正确的网站名称,但被定向到欺诈站点,这是一种称为缓存中毒的攻击。这是促使运营DNS服务器的ISP和其他实体使用DNSSEC的许多问题之一。
使用DNSSEC,DNS记录采用加密方式进行签名,并验证这些签名以确保信息的准确性。 Dickinson表示,DNSSEC的采用受到实施的复杂性和缺乏简单工具的阻碍。
为了签署DNS记录,DNSSEC使用公钥密码术,其中签名是使用公钥和私钥创建的并在区域级别上实施。 Dickinson说,部分问题是对这些密钥的管理,因为它们必须定期更新以保持高度的安全性。管理这些密钥的错误可能会导致严重问题,这对管理员来说是一个挑战。
Dickinson说,OpenDNSSEC允许管理员创建策略,然后自动管理密钥并对记录进行签名。这个过程现在需要更多的人工干预,这增加了出错的几率。
OpenDNSSEC负责确保该区域根据政策永久保持正确和正确的签署,“Dickinson说。 “所有这些都是完全自动化的,因此管理员可以专注于做DNS并让安全工作在后台。”
该软件还具有密钥存储功能,可让管理员将密钥保存在硬件或安全软件模块中,这是一个额外的保护层,可以确保密钥不会落入坏人之手,Dickinson说。
OpenDNSSEC软件可供下载,尽管它是作为技术预览提供的,不应该用于生产,迪金森说。在不久的将来,开发人员将收集有关该工具的反馈并发布改进后的版本。
截至今年早些时候,大多数顶级域名(例如以.com结尾的域名)都没有加密签名,也没有在DNS根区域中,计算机可以在其中查找特定域中的地址的主列表。 VeriSign是“.com”的注册管理机构,它在二月份表示,它将在2011年之前在包括.com在内的顶级域名中实施DNSSEC。
其他组织也在朝着使用DNSSEC的方向发展。美国政府已承诺将DNSSEC用于其“.gov”域名。瑞典(.se),巴西(.br),波多黎各(.pr)和保加利亚(.bg)的其他ccTLD(国家代码顶级域名)运营商也在使用DNSSEC。
安全专家认为,由于DNS中存在漏洞,DNSSEC应尽早使用,而不是晚些时候使用。安全研究人员Dan Kaminsky在2008年7月公布了其中一个更严重的问题。他表示DNS服务器可能会迅速填充不准确的信息,这些信息可能用于各种电子邮件系统,软件更新系统和密码网站上的恢复系统。
根据荷兰研究和教育机构SurfNet今年早些时候发表的一份白皮书,虽然已经部署了临时补丁,但这不是一个长期解决方案,因为执行攻击需要更长的时间。 SurfNet是OpenDNSSEC的支持者之一,它还包括“.uk”注册管理机构Nominet,NLnet Labs和SIDN,“.nl”注册机构。
除非使用DNSSEC,否则“域名系统中的基本缺陷 - 是没有办法确保查询的答案是真实的 - 仍然存在,“该报称。”