Açık Kaynaklı Proje, Güvenli DNS Daha Kolaylaştırmayı Hedefliyor

Bir grup geliştirici, yöneticilere İnternet'in adresleme sistemini korsanlara karşı daha az savunmasız kılan bir açık kaynak kodlu yazılım sunmuştur.

OpenDNSSEC adı verilen yazılım birçok görevi otomatikleştirmektedir. Projede çalışan bir DNS danışmanı olan John A. Dickinson, DNS (Etki Alanı Adı Sistemi) kayıtlarının dijital imzaya geçmesine izin veren bir dizi protokol olan DNSSEC (Etki Alanı Adı Sistemi Güvenlik Uzantıları) uygulamalarıyla ilişkili olduğunu söyledi.

DNS kayıtları, Web sitelerinin bir addan, bir bilgisayar tarafından sorgulanabilen bir IP (İnternet Protokolü) adresine dönüştürülmesini sağlar. Ancak, DNS sistemi, özgün tasarımından çıkarak, hackerlar tarafından giderek daha fazla hedeflenen birtakım kusurlara sahiptir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bir DNS sunucusu kurcalayarak, bir Kullanıcı, doğru Web sitesi adını yazmalı ancak sahte bir siteye yönlendirilmeli, önbellek zehirlenmesi adı verilen bir saldırı türü. Bu, ISS'ler ve DNSSEC kullanmak için DNS sunucuları çalıştıran diğer varlıklar için bir harekete neden olan birçok endişeden biridir.

DNSSEC ile, DNS kayıtları kriptografik olarak imzalanır ve bilgilerin doğru olduğundan emin olmak için bu imzaların doğrulanır. Ancak DNSSEC'in benimsenmesi, hem uygulamanın karmaşıklığı hem de daha basit araçların eksikliği nedeniyle geri kalmıştır, dedi.

DNS kayıtlarını imzalamak için, DNSSEC, genel ve özel anahtar kullanılarak imzaların oluşturulduğu ortak anahtar şifrelemesini kullanır. ve bir bölge düzeyinde uygulanmaktadır. Problemin bir kısmı, bu anahtarların yönetimidir, çünkü yüksek seviyede bir güvenlik sağlamak için periyodik olarak yenilenmeleri gerektiğinden Dickinson, dedi. Bu anahtarların yönetiminde bir hata, büyük sorunlara yol açabilir ki bu da yöneticilerin karşılaştığı zorluklardan biridir.

OpenDNSSEC, yöneticilerin politika oluşturmalarına izin verdikten sonra anahtarları yönetmeyi ve kayıtları imzalamayı otomatik hale getirdiğini söyledi. İşlem şu anda daha fazla manuel müdahale gerektiriyor ve bu da hata şansını artırıyor.

OpenDNSSEC "bölgenin sürekli olarak politikaya göre doğru ve doğru bir şekilde imzalanmasını sağlamaya özen gösteriyor," dedi Dickinson. "Tüm bunlar tamamen otomatiktir, böylelikle yönetici DNS üzerinde yoğunlaşabilir ve güvenliğin arka planda çalışmasına izin verebilir."

Yazılım ayrıca yöneticilerin bir donanım veya güvenlik yazılımı modülünde anahtar tutmasını sağlayan bir anahtar saklama özelliğine de sahiptir. Ayrıca, tuşların yanlış ellere geçmemesini sağlayan ek bir koruma katmanı, Dickinson dedi.

OpenDNSSEC yazılımı, bir teknoloji önizlemesi olarak sunulmasına rağmen, henüz kullanılmamalıdır. Dickinson, dedi. Geliştiriciler, araçla ilgili geri bildirim toplayacak ve yakın gelecekte geliştirilmiş sürümler yayınlayacaklar.

Bu yılın başlarında, ".com" ile bitenler gibi en üst düzey alan adları, kriptografik olarak imzalanmadı. DNS kök bölgesinde, bilgisayarların belirli bir etki alanındaki bir adrese bakabileceği ana liste. ".com" için kayıt olan VeriSign, şubat ayında yaptığı açıklamada, 2011'de.com dahil olmak üzere en üst düzey alanlarda DNSSEC'yi uygulayacağını söyledi.

Diğer kuruluşlar da DNSSEC'i kullanmaya doğru ilerliyorlar. ABD hükümeti, ".gov" alanı için DNSSEC'yi kullanmaya karar verdi. İsveç (.se), Brezilya (.br), Porto Riko (.pr) ve Bulgaristan (.bg) ülkelerindeki diğer ccTLD'ler (ülke kodu Üst Düzey Etki Alanları) operatörleri de DNSSEC kullanıyor.

Güvenlik uzmanları, DNS'deki mevcut güvenlik açıkları nedeniyle DNSSEC daha geç kullanılmalıdır. Daha ciddi olanlardan biri, 2008 yılının Temmuz ayında güvenlik araştırmacısı Dan Kaminsky tarafından ortaya çıkarıldı. DNS sunucularının, e-posta sistemlerine, yazılım güncelleme sistemlerine ve parolalara yönelik çeşitli saldırılar için kullanılabilecek yanlış bilgilerle hızlı bir şekilde doldurulabildiğini gösterdi. Web sitelerinde kurtarma sistemleri.

Geçici yamalar dağıtılmış olsa da, bu yıl başlarında Hollandalı bir araştırma ve eğitim kurumu olan SurfNet tarafından yayınlanan bir makaleye göre, bir saldırı gerçekleştirmek için daha uzun sürdüğü için uzun vadeli bir çözüm değil. SurfNet, ".uk" kayıt defteri Nominet, NLnet Labs ve SIDN, ".nl" kayıt defterini de içeren OpenDNSSEC destekçileri arasındadır.

DNSSEC kullanılmadığı sürece, "Etki Alanı Adı Sistemindeki temel kusur - orada" Sorguların cevaplarının gerçek olduğundan emin olmanın bir yolu yok - kalır, "dedi kağıt