DNSViz: Intim visning av et nettstedets DNS-sikkerhet

Domain Name System (DNS) - voldgiftsteknologi som hjelper antall utfordrede mennesker til å bruke Internett - er i alvorlige, alvorlige problemer. Kunne ikke fortelle av meg, alt virker fint. Skriv inn TechRepublic.com og nettleseren henter på TechRepublics hjemmeside på en magisk måte.

Hva er problemet?

I stedet for TechRepublic, gå til nettstedet ditt for nettbank. Vurder nå dette; hvordan vet du at det er den virkelige avtalen? Hva om det er en kopi? En designet av skurkene for å fange tastetrykk og skjermbilder - spesielt innloggingsinformasjon.

Oppdatering (17. januar 2012): Jeg har nettopp lest et blogginnlegg av Brian Krebs der han diskuterer et program som heter Simple Phishing Toolkit og hvordan det forenkler å sette opp et "phishing-nettsted".

"Verktøysettet lever opp til navnet sitt: Det er ekstremt enkelt å installere og bruke. Ved å bruke en kopi av WampServer - et gratis programvarebunt som inkluderer Apache, PHP og MySQL - kunne jeg installere verktøysettet og lage en phishing-kampanje i Gmail i mindre enn fem minutter. "

Verktøysettet ble designet for å utdanne ansatte til å unngå falske nettsteder som phishing etter sensitiv personlig informasjon. Det er bare et spørsmål om tid før ekle typer også begynner å bruke verktøysettet.

DNSSEC

Eksperter over hele verden jobber hardt for å løse problemer som feildirigering til ondsinnede nettsteder. En løsning i forkant er Domain Name System Security Extensions (DNSSEC), en bekreftelsesmetode som bruker Public Key Infrastructure (PKI).

Dessverre er DNSSEC utrolig vanskelig å forstå og implementere. Det er sannsynligvis derfor bare en liten prosentandel av selskapene har innlemmet DNSSEC, selv om det har vært tilgjengelig for .com-domenet siden april 2011.

Så hvordan vet man om et nettsted bruker DNSSEC. En måte er å bruke testnettstedet DNSSEC - ironisk, jeg vet - av Verisign Labs. Skjermdumpen nedenfor viser testresultatene for www.TechRepublic.com.

Du kan se domenet techrepulic.com bruker ikke DNSSEC fra de røde X-ene av "Ingen DS-poster" og "Ingen DNSKEY-poster". Neste skjermbilde viser testresultatene for www.Sandia.gov.

Sandia National Laboratories nettsted bruker DNSSEC, sannsynligvis på grunn av regjeringsmandatet at alle .gov-toppdomener skal sikres med DNSSEC.

Vi er imidlertid ikke ferdige ennå. Det er noe annet å vurdere. Husker jeg omtale av DNSSECs kompleksitet? Dr. Casey Deccio, dataforsker med Sandia National Laboratories er enig (med tillatelse av Homeland Security News):

"Det er vanskelig å konfigurere DNSSEC riktig og må gjennomgå regelmessig vedlikehold. Det tilfører mye kompleksitet til IT-systemer, og hvis de konfigureres feil eller distribueres på servere som ikke er fullt kompatible, hindrer det brukere i å få tilgang til .gov-nettsteder. De bare få feilresponser. "

DNSViz

For å hjelpe med å løse DNSSEC-problemer utviklet Casey et nettbasert verktøy kalt DNSViz:

"Det gir en visuell analyse av DNSSEC-godkjenningskjeden for et domenenavn og dens oppløsningsbane i DNS-navneområdet, gjort tilgjengelig via en nettleser for enhver Internett-bruker.

Den fremhever og beskriver konfigurasjonsfeil som er oppdaget av verktøyet for å hjelpe administratorer med å identifisere og fikse DNSSEC-relaterte konfigurasjonsproblemer. "

Man kan fortelle at disse tingene er kompliserte, jeg fikk ikke vanskelighetene med DNSViz, enn si DNSSEC. Så jeg kontaktet Casey og stilte noen spørsmål.

Kassner : Hvorfor følte du behov for å opprette DNSViz? Deccio : Det er ingen hemmelighet at DNS er iboende usikker. DNSSEC er den vanlige samfunnsinnsatsen for å sikre DNS. Imidlertid er kompleksiteten det tilfører vanlig DNS ikke-triviell, fra et perspektiv av både forståelse og distribusjon. Uten noe som hjelper til med å adressere denne kompleksiteten, kan DNSSEC-distribusjonen bli forfjamset, enten fordi det virker for lite til å svelge for bedrifter og andre enheter som ellers kan ha nytte av, eller på grunn av at de ikke fungerer korrekt.

DNSViz var ment å ta noe av voodoo ut av DNSSEC og gjøre det mer forståelig for de som jobber tettest med det på ingeniør- og driftssiden. Det demonstrerer også visuelt DNSSEC for de som jobber mindre intimt med det, men som fortsatt kan sette pris på et pent bilde.

Kassner : Hvilke forhold skulle signalisere behovet for å teste et nettsted eller annen online tilstedeværelse? Deccio : DNSViz gir et overblikk over sikkerheten som TechRepublic-domenet tilbyr, det vil si om DNS-oppløsere har en måte å bekrefte riktigheten av et svar de har hentet for TechRepublic-domenet. Som et flertall av selskapene har ikke TechRepublic DNSSEC utplassert, så det viser "usikkert".

Det er tre hovedgrunner til at noen kan bruke DNSViz for å analysere domenet sitt:

  • For å se hvor et domene for øyeblikket står, i forhold til DNSSEC-status.
  • I forbindelse med alt vedlikehold av DNSSEC, inkludert første utrulling, som en tilregnelighetskontroll.
  • For å feilsøke DNSSEC-relaterte problemer med domenet.
Kassner : Jeg skriver www.TechRepublic.com i DNSViz og klikker på Gå. Hva skjer da? Deccio : DNSViz vil produsere en grafisk fremstilling av DNSSEC "kjeden av tillit" for www.TechRepublic.com, fra perspektivet for sist gang den ble analysert. Hvis du bruker Firefox- eller Opera-nettlesere, vil musing over de forskjellige grafkomponentene føre til at ytterligere informasjon vises om de valgte komponentene. Navnene blir analysert på nytt med jevne mellomrom, og kan om ønskelig analyseres eksplisitt på forespørsel. Kassner : Jeg testet www.TechRepublic.com. Her er resultatene. Kan du beskrive hva vi ser på?

Deccio : Noe av det mest interessante ved DNSSEC er usikkerhet må være bevist - spesielt ovenfra og ned. Produksjonen av TechRepublic.com er et perfekt eksempel. Den eneste grunnen til at en validerende DNSSEC-klient aksepterer et usignert - eller en ulovlig signert, for den saks skyld - svar for TechRepublic.com er fordi com-sonen inneholder poster (NSEC3) som beviser at ingen nøkler er tilgjengelige for å validere TechRepublic.com-navn, så vidt com vet.

Tillitskjeden strekker seg fra tillitsankeret øverst (identifisert av en dobbel kant), ned gjennom com-sonen, og avsluttes med NSEC3-nodene. Fordi kjeden er komplett gjennom NSEC3-nodene, vet en validerende resolver at den ikke kan hevde noe om sikkerheten til et svar for TechRepublic.com. Dermed blir poster innen det domenet merket som "usikre".

Kassner : Hva betyr det hvis et domene mislykkes testen din? Deccio : DNSViz er ment å fremheve problemer med et domenes konfigurasjon. Hvis noen feil eller advarsler dukker opp, indikerer de vanligvis en inkonsekvens forårsaket av vedlikeholdssømmelse, inkompatibilitet eller feilkonfigurasjon. Noe må gjøres fra domenets operatør for å avhjelpe slike problemer.

DNSViz er på ingen måte et ferdig produkt. I fremtiden håper jeg å gi ytterligere hjelpemidler for å løse eventuelle problemer som oppdages av verktøyet, inkludere en historisk analyse, løse generelle problemer med navneløsning og noen tilleggsfunksjoner. Vi søker ytterligere finansierings- og samarbeidsmuligheter for å gjøre disse utvidelsene mulige og gjøre DNSViz til et mer ressurssterkt verktøy. Jeg vil invitere organisasjoner med riktig type teknisk kompetanse og interesse for denne typen sikkerhetsverktøy til å kontakte meg på Sandia.

Kassner : Jeg føler frustrasjon blant eksperter som bruker enorm innsats for å prøve å få DNSSEC mer innarbeidet. Deler du deres bekymring? Deccio : Implementering av DNSSEC, eller annen teknologi for den saks skyld, krever både teknisk vei og insentiv. Den tekniske veien ble en realitet med signeringen av rotsonen i 2010 og signeringen av andre store toppdomener.

Mange bedrifter og andre enheter har ennå ikke sett incentivet til distribusjon. Når jeg er kjent med distribusjonskompleksitetene, forstår jeg at:

  • DNSSEC er ikke nødvendigvis for alle - hvorfor pådra seg overhead, hvis netto gevinsten for et domene er minimal.
  • Det er mange som kan dra nytte av DNSSEC-distribusjonen, men ikke har lagt ned noe for å videreføre det.

Jeg tror Internett-samfunnet kan lære et par ting av dette. Det er mulig at DNS-sikkerhetsløsningene vi har ikke er smaklige i sin nåværende tilstand, og når de utvikler seg - verken i tilgjengelige verktøy, protokoller eller distribusjon - vil de bli adoptert av de som venter på kanten.

Mens vi fortsetter å oppfordre folk til å delta i DNSSEC-distribusjonsinnsats, må vi forbedre og forenkle vårt nåværende løsningssett.

Kassner : Jeg er interessert i hvorfor enkeltpersoner blir lidenskapelig opptatt av en viss teknologi, spesielt utfordrende som DNS-sikkerhet. Hva på dette feltet fanget interessen din nok til å forfølge den så intenst? Deccio : Det er mange åpne problemer med DNS, og samfunnet er ganske aktivt, selv om DNS er over 25 år gammel. Feltet er åpent nok til å dra nytte av akademisk forskning, samt ingeniørfag; og løsninger fra begge områder løser et reelt problem som påvirker alle Internett-brukere.

Siste tanker

Jeg ønsket å nevne at Sandia National Laboratories ga ut en video av kommunikasjonsoffiser Mike Janes som intervjuet Casey. Videoen går gjennom intimitetene til DNSViz.

DNSSEC eller noe lignende er nødvendig. Ellers vil omstendighetene forringes til et punkt der ingen vil stole på Internett. Takket være innsats fra DNS-eksperter som Casey Deccio, vil kanskje flere selskaper begynne å implementere DNSSEC.

© Copyright 2021 | pepebotifarra.com