к стати не виже нехрена сообщения что с 5го мая заработал DNSSEC
можете напечатать...
В среду 5 мая Интернет-корпорация по присвоению имен и номеров (ICANN) (и ее партнеры) планирует развернуть DNSSEC на все тринадцать корневых серверов DNS, завершив тем самым первую фазу внедрения DNSSEC. DNSSEC вносит некоторые существенные изменения в то, как «выглядит» типичный DNS трафик для сетевых устройств. Как следствие, некоторые эксперты беспокоятся о том, что ряд сетей и устройств не смогут корректно обрабатывать трафик DNSSEC после этих изменений, что может потенциально помешать получить доступ к ресурсам Интернет по их доменным именам. Ниже мы перечислили некоторые изменения DNSSEC, которые могут повлиять на ваше сетевое оборудование.
Как вы, вероятно, знаете, Система доменных имен (DNS) – это протокол, который позволяет компьютерам узнать по доменному имени IP-адрес сайта или любого другого сетевого ресурса. В принципе протокол DNS нормально выполняет свои функции, но с течением времени эксперты осознали его незащищенность. Например, в середине 2008 года известный исследователь безопасности Дэн Камински (Dan Kaminsky) предупредил мир о некоторых недостатках протокола DNS, которые позволяют злоумышленникам выполнить атаки подмены кэша DNS. Некоторые из уязвимостей, обнаруженных Камински, удалось исправить. Тем не менее, как минимум одна уязвимость происходила из принципа функционирования протокола. Атака Камински показала миру, что нужен более безопасный стандарт DNS.
DNSSEC – это новый стандарт. По сути, это обновление протокола DNS, которое добавляет некоторые новые расширения безопасности. В двух словах, DNSSEC использует криптографию с открытым ключом для добавления цифровых подписей к ответам DNS, что позволяет вашему компьютеру понять, поступает ли ответ от авторизованного сервера DNS или от третьего лица. Не вдаваясь в технические подробности, DNSSEC следующим образом влияет на то, как выглядит трафик DNS:
• Ответы DNS будут поступать в значительно больших пакетах, так как требуется место для цифровых подписей
• Ответы DNS могут приходить в нескольких пакетах (фрагментах), что редко происходит в случае с традиционными пакетами DNS
• DNS будет чаще использовать TCP пакеты, в то время как сейчас обычно используются UDP
• Ответы DNS будут содержать расширение EDNS
Если вы используете такие сетевые устройства, как маршрутизаторы и межсетевые экраны, которые разбирают DNS трафик для поиска аномалий, то у них могут возникнуть проблемы в связи с изменениями DNS. Например, сетевое устройство может не пропускать крупные ответы DNS или фрагментированный трафик IP. Также может не поддерживаться расширение EDNS. В этих случаях устройство может помешать общению клиента или сервера DNS с корневыми серверами ICANN после 5 мая. Если вы используете сетевое оборудование, которое разбирает или фильтрует трафик DNS, то мы крайне рекомендуем проверить совместимость этих устройств с DNSSEC.
а что? вполне достойно для секбаша...
к стати в том что сделали есть своя уязвимость это другая история,но всеже ее очень скоро поправят. но вдумайтесь - появилось возможность достаточно надежно публиковать паблик кей для некого ресурса с которым в дальнейшем можно будет обменяться сессионными ключами..
можете напечатать...
В среду 5 мая Интернет-корпорация по присвоению имен и номеров (ICANN) (и ее партнеры) планирует развернуть DNSSEC на все тринадцать корневых серверов DNS, завершив тем самым первую фазу внедрения DNSSEC. DNSSEC вносит некоторые существенные изменения в то, как «выглядит» типичный DNS трафик для сетевых устройств. Как следствие, некоторые эксперты беспокоятся о том, что ряд сетей и устройств не смогут корректно обрабатывать трафик DNSSEC после этих изменений, что может потенциально помешать получить доступ к ресурсам Интернет по их доменным именам. Ниже мы перечислили некоторые изменения DNSSEC, которые могут повлиять на ваше сетевое оборудование.
Как вы, вероятно, знаете, Система доменных имен (DNS) – это протокол, который позволяет компьютерам узнать по доменному имени IP-адрес сайта или любого другого сетевого ресурса. В принципе протокол DNS нормально выполняет свои функции, но с течением времени эксперты осознали его незащищенность. Например, в середине 2008 года известный исследователь безопасности Дэн Камински (Dan Kaminsky) предупредил мир о некоторых недостатках протокола DNS, которые позволяют злоумышленникам выполнить атаки подмены кэша DNS. Некоторые из уязвимостей, обнаруженных Камински, удалось исправить. Тем не менее, как минимум одна уязвимость происходила из принципа функционирования протокола. Атака Камински показала миру, что нужен более безопасный стандарт DNS.
DNSSEC – это новый стандарт. По сути, это обновление протокола DNS, которое добавляет некоторые новые расширения безопасности. В двух словах, DNSSEC использует криптографию с открытым ключом для добавления цифровых подписей к ответам DNS, что позволяет вашему компьютеру понять, поступает ли ответ от авторизованного сервера DNS или от третьего лица. Не вдаваясь в технические подробности, DNSSEC следующим образом влияет на то, как выглядит трафик DNS:
• Ответы DNS будут поступать в значительно больших пакетах, так как требуется место для цифровых подписей
• Ответы DNS могут приходить в нескольких пакетах (фрагментах), что редко происходит в случае с традиционными пакетами DNS
• DNS будет чаще использовать TCP пакеты, в то время как сейчас обычно используются UDP
• Ответы DNS будут содержать расширение EDNS
Если вы используете такие сетевые устройства, как маршрутизаторы и межсетевые экраны, которые разбирают DNS трафик для поиска аномалий, то у них могут возникнуть проблемы в связи с изменениями DNS. Например, сетевое устройство может не пропускать крупные ответы DNS или фрагментированный трафик IP. Также может не поддерживаться расширение EDNS. В этих случаях устройство может помешать общению клиента или сервера DNS с корневыми серверами ICANN после 5 мая. Если вы используете сетевое оборудование, которое разбирает или фильтрует трафик DNS, то мы крайне рекомендуем проверить совместимость этих устройств с DNSSEC.
а что? вполне достойно для секбаша...
к стати в том что сделали есть своя уязвимость это другая история,но всеже ее очень скоро поправят. но вдумайтесь - появилось возможность достаточно надежно публиковать паблик кей для некого ресурса с которым в дальнейшем можно будет обменяться сессионными ключами..
Изменено: 0per - 05.05.2010 22:28:53