форум vBSupport.ru > Камчатка > Бар «У воблочки»
  • »
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
 
 
 
 
SMak044
Эксперт
 
SMak044's Avatar
Default Внимание DNS - Вернее DNSSEC!
0

Сегодня день удивительной информации...
Вот еще одна статья для админов, во всяком случае, я уже завтра начну переезд на 2008 сервер, так как только там есть DNSSEC расширение, а у меня своя автономная система...
Quote:
5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми для пользователей, которые выходят в Интернет через неправильно сконфигурированные брандмауэры или пользуются услугами недостаточно расторопных провайдеров.

Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой подписи. Считается, что подписывание запросов и серверов DNS поможет сделать современный Интернет более безопасным. Во всяком случае, новый протокол полностью исключает атаки на службу DNS с использованием таких уязвимостей, как та, что нашел и описал Дэн Камински в июле 2008 года.

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Возможным решением проблемы может стать технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения для службы имен), но этот стандарт, 10 лет назад принятый организацией IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith Mitchell), глава инженерного подразделения в компании Internet Systems Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0 является главным и единственным инструментом для борьбы с возможными проблемами при переходе на протокол DNSSEC на предприятиях и в сетях независимых Интернет-провайдеров.

Проверить совместимость используемой вами службы DNS с протоколом DNSSEC можно с помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не стоит – все равно без участия провайдера сделать будет ничего нельзя.

Источник
Полезные ссылки:
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
AlfaDogg
Эксперт
 
AlfaDogg's Avatar
Default
0

SMak044, ээ я нифига не понял... Это только по соображениям безопасности или какие-то еще плюсы есть?
 
 
SMak044
Эксперт
 
SMak044's Avatar
Default
0

AlfaDogg, На сколько я понял то да. В общем то у кого нет своего днс сервера, то беспокоится нечего. Но надо бы проверить своих провайдеров и тех кто предоставляет доменные имена
 


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 06:43 AM.


Powered by vBulletin® Version Ъ Edition
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Loading...