当你在网上提交你的税,你要确保该网站你访问 -www.irs.gov——由美国国税局(Internal Revenue Service)运营,而不是骗子。到明年年底,你可以确信,每个美国政府的网页都是由适当的机构提供的。
这是因为联邦政府已经启动了有史以来最大规模的首次展示互联网的DNS新的认证机制。所有联邦机构都在.GOV顶级域名部署DNS安全扩展(DNSSEC),以及一些预计一旦部署完成,银行和其他企业可能会鼓励效仿他们的网站。
DNSSEC防止黑客劫持网站流量,并将其重定向到虚假的网站。该互联网标准防止通过允许网站,以验证其域名和使用数字签名和公共密钥加密对应的IP地址欺骗攻击。
(看到“垃圾邮件发送者,crammers,骗子和身份窃取:FTC的2008年度案件”。)
随着DNSSEC部署,联邦政府网站“不太容易被黑客侵入,这意味着他们可以有更大的保障公众提供服务“,”张国荣英对照精华文章,首席互联网技术官互联网协会说。“DNSSEC是指在政府在线服务的更多信心。”
该U.S.’s government DNSSEC mandate is "significant,’’ says Olaf Kolkman, a DNSSEC expert and director of NLnet Labs, a nonprofit R&D foundation in the Netherlands. "First, the tool developers will jump in because there is the U.S. government as a market….Second, there is suddenly a significant infrastructure to validate against.’’
白宫DNSSEC任务迄今发现的最严重错误的DNS之一的七月披露后,时逢周。该卡明斯基的错误- 而得名安全研究人员丹·卡明斯基(Dan Kaminsky)发现了这一技术,它允许缓存中毒攻击,即黑客在用户不知情的情况下,将合法网站的流量重定向到虚假网站。(看到“如何联邦调查局都锁定了他们的网络。”)
白宫官员说,自2003年2月,当布什政府公布了他们的DNSSEC任务已在作品网络空间安全国家战略。在网络安全战略,这是由2001年9月11日提示,恐怖袭击,包括确保DNS的目标。
在一个单独的,但相关的,网络安全项目叫做信任的Internet连接倡议下,美国政府正在减少其经营的外部互联网连接数量从超过8000比100少。
该DNSSEC mandate "was issued as a consequence of agencies having completed the initial consolidation of external network connectivity [through the Trusted Internet Connection initiative],’’ said Karen Evans, administrator for the Office of E-Government and Information Technology at the Office of Management and Budget (OMB), in a statement. "The Kaminsky DNS bug was not a factor.’’
正在争相在其产品中添加DNSSEC功能的DNS硬件和软件供应商预测,卡明斯基漏洞和白宫授权的连续两击将推动DNSSEC在互联网上的部署。
DNS供应商Secure64的营销副总裁马克•贝克特(Mark Beckett)表示:“由于丹•卡明斯基(Dan Kaminsky)的漏洞,以及人们对DNS安全的关注,现在的时机再好不过了。”该公司从9月份开始推出一套用于部署DNSSEC的自动化系统。“尽管我们有一个解决卡明斯基漏洞的补丁……但这个问题的唯一长期解决方案是DNSSEC。”
行政管理和预算局的任务“意义重大,但只是冰山一角,”NeuStar高级副总裁兼高级技术专家罗德尼•约夫(Rodney Joffe)表示。NeuStar销售UltraDNS管理服务套件,并运营着包括。us和。biz在内的几个顶级域名。“所有其他顶级域名现在都在争相使用DNSSEC。这是一个巨大的变化。毫无疑问,2009年将是DNSSEC之年。”
白宫授权DNSSEC
行政管理和预算局发布了一份要求在八月,要求所有联邦机构支持DNSSEC。
备忘录指出,。gov必须在2009年1月之前以加密方式在最高层签署,而.gov下的所有子域名,如www.irs.gov,必须在2009年12月之前签署。
虽然备忘录的重点是.GOV域名,美国国防信息系统局表示,它打算以满足对。密尔域OMB的DNSSEC的要求了。
管理预算办公室正在与各机构敲定在他们的域名和子域名上部署DNSSEC的计划,这些计划预计将在10月中旬完成。
“联邦政府一直在与有关DNSSEC许多组织,并准备部署“,”埃文斯说,“其中的资源可用,安全命名的基础设施试点(SNIP)是一个可供所有政府机构使用的测试平台,这样他们可以在部署前测试他们的DNSSEC操作。”
为了满足任务,联邦机构必须升级他们的DNS服务器以支持新的协议,购买网络管理工具,支持DNSSEC,并提供培训,他们的网络管理员工。
"The real impact is that you are changing the way the DNS is managed within the .gov domain,’’ says Scott Rose, a computer science with the National Institute for Standards and Technology (NIST) Information Technology Laboratory. "The largest cost in DNSSEC deployment is setting up procedures and software for key management.’’
埃文斯表示,各机构将从现有的IT基础设施预算中支付DNSSEC的费用。
“那些想要让他们的域名,比如他们网站的域名,通过域名安全委员会进行验证的人,必须进行一些投资。他们必须更新他们的基础设施,他们必须经历一个学习曲线,”Kolkman说,他称管理和预算办公室2009年12月的截止日期“雄心勃勃”。
罗斯说:“我们认为这是可行的。”“我们认为,这发出了一个强烈的信号,表明美国政府致力于DNSSEC,并致力于改善。gov域名内的互联网安全。”
通过对.GOV推出DNSSEC,联邦政府正在做什么,它可以改善它通过互联网与公民和承包商通信的安全性。
美国政府正在“站起来,说了所有正确的原因,DNSSEC是追求路径,”英对照精华文章说,“这是一个很好的举措,因为它是积极的。他们试图解决他们的DNS资源的安全性之前有那种关键的安全灾难,许多人都假定需要DNSSEC之前将部署的。””
专家表示,行政管理和预算局的规定可能会鼓励isp也支持DNSSEC,因为他们的客户是.gov网站的大量用户。
"By the end of the year, a large number of ISPs will all have DNSSEC deployed,’’ Joffe predicts. "There will no longer be an excuse for ISPs not to implement DNSSEC knowing they have customers that go to government Web sites.’’
美国联邦政府将在世界上首次组织之间的安全增强功能部署到其运营顶级域名,这是.GOV。
有国家部署DNSSEC在他们的顶级域包括瑞典,波多黎各,保加利亚和巴西。
DNS厂商们希望联邦DNSSEC任务将导致更广泛应用在Internet上的标准。
"We’ve seen a fair amount of interest in DNSSEC outside the U.S….but we haven’t had a whole lot of momentum inside the U.S.,’’ says Cricket Liu, vice president of architecture at InfoBlox. "My hope is that this is the beginning of getting the ball rolling in the U.S.’’
怎么样的根和.com?
虽然显著,行政管理和预算局的任务是缺少所必需的在互联网推动DNSSEC部署的几个关键组件。
首先,OMB备忘录只字未提当互联网的根服务器将支持DNSSEC。
其次,备忘录没有解决美国政府是否会要求VeriSign公司,经营流行的.com和.net顶级域名,支持DNSSEC。
美国国家电信和信息管理局(NTIA),美国政府负责监管互联网的DNS基础设施的胳膊,并没有为DNSSEC部署的最后期限为根服务器,.com或.net。
法案同样“NTIA承认的潜在好处域名系统安全扩展根区域文件签署,并积极研究各种实现模型与其他美国政府机构的协调以及其他利益相关方,包括(互联网名称与数字地址分配机构)和VeriSign,与部门现有相关法律关系,”据一位NTIA声明。
NTIA的声明说,该机构不会采取任何会影响DNS运行稳定性或效率的行动。
"A DNSSEC signed root zone would represent one of the most significant changes to the DNS infrastructure since it was created; therefore any changes cannot be taken lightly considering that the Internet DNS is a global infrastructure on which the global economy relies,’’ the statement said.
VeriSign已经运行了好几年的DNSSEC试点项目,它提供了法案同样免费域名系统安全扩展工具在它的开发人员网站上。
威瑞信经营着两个互联网的13个根的服务器。2008年3月,VeriSign创建了aDNSSEC测试平台所有根区运营商使用。
VeriSign的CTO Ken Silva表示:“测试平台进展顺利。”“我们收集了很多数据……这是整个互联网准备部署DNSSEC的过程的一部分。”
威瑞信并没有承诺在.com和.net支持DNSSEC。截至2008年6月,.com和.net支持8730万个的域名,这个数字是比上一年的20%,根据威瑞信。
Silva说。com和。net在根用户之后才会升级到DNSSEC。
“这是不是一个可以一蹴而就的东西“,”席尔瓦,谁预言这将是三年,直到根服务器支持DNSSEC说,“对于全DNSSEC部署网络范围,你可以说话的十年“。”
专家说,全面部署DNSSEC直到根目录才会发生。。com和。net通过数字签名进行认证。
“已经签署的根源是非常重要的,” Kolkman说,“很显然,.com是在房间里的300磅重的大猩猩。如果.COM签署,这将拉动很多人到DNSSEC,但其签署的根给出了一个更具全球性的信号。””
“鸡生蛋还是蛋生鸡”的困境
网络工程师在1997年开发DNSSEC,但该技术还没有被广泛应用,因为它从经典的鸡和蛋的困境受到影响。
DNSSEC不能防止欺骗攻击,除非它广泛部署在互联网的DNS基础设施上。网站运营商不会从DNSSEC中获得太多好处,除非它部署在顶级域名上。顶级域名不支持DNSSEC,因为没有来自网站运营商的需求。
在行政管理和预算局的授权下,鸡蛋似乎正在破裂。其他有兴趣推出DNSSEC的顶级域名包括公共利益注册中心的.org。http://blog.internetgovernance.org/blog/_archives/2008/4/25/3659794.html和波兰的国家代码。pl
DNSSEC发展缓慢的一个原因是它很难部署。网络管理人员将需要一些工具来帮助他们以一种安全的方式生成和存储加密密钥,此外,为了支持DNSSEC,他们还必须定期更新这些密钥。
贝克特说:“对于人们来说,部署DNSSEC是一项复杂而耗时的工作。”这也是今年早些时候Secure64获得国土安全部100万美元拨款的原因之一,用于开发一个自动的域名安全委员会签名解决方案,即刚刚发布的Secure64 DNS签名产品。
“国土安全部想灌泵获得商用产品在那里以消除复杂性,并使其可能在几天或几周内部署DNSSEC,而不是它可能需要他们今天的几个月的时间“,”贝克特补充说。
行政管理和预算局说,足够的商业DNSSEC产品可跨.GOV权证部署。
“美国享有强大的和动态的商业市场,将继续满足我们的需要,””埃文斯说,“国土安全部科学技术局的部一直领先的这一举措相关的研究和开发。国立标准和技术负责制定DNSSEC标准,总务管理局是确保基于服务的解决方案可供选择。””
DNSSEC专家鼓励企业网络管理员查看联邦法令作为一个标志,DNSSEC是真实的。
"What I think you should take away from this as corporate IT managers is that DNSSEC is coming. DNNSSEC is real, and it’s out of the experimental stage,’’ Daigle says. "It’s OK to buy products and equipment to support it.’’
网络管理者也应该好好看看,因为卡明斯基错误的DNSSEC,专家说。这是一个行业,如银行和电子商务那次战斗钓鱼攻击尤其如此。
该卡明斯基的错误"is a verifiable and credible business case for actually deploying DNSSEC, not just in the government but in private industry,’’ Joffe says. "The only solution we know of that is 100% correct in solving the problem of DNS cache poisoning is DNSSEC.’’