DNESSEC – это престижно, но сложно

В октябре 2013 года в Афинах состоялась 67-я конференция RIPE, организатором которой традиционно выступил RIPE NСС - координационный центр, управляющий адресными ресурсами Сети в Европейском регионе.  Об одной из тем, которая активно обсуждалась в рамках мероприятия, – IPv4-аукционах – мы уже писали на страницах info.nic.ru. Однако не меньше обсуждений участников RIPE было посвящено и другому вопросу - внедрению безопасного протокола DNSSEC, закрывающего фундаментальные уязвимости в системе доменных имен (DNS).

Так, на конференции были представлены работы, посвященные борьбе с атаками на DNS. В частности, эксперимент по отравлению кэша резолвера посредством отправки на авторитативный и кэширующий серверы поддельных ICMP* и DNS-сообщений с использованием фрагментированных UDP-пакетов, который показал малозатратную схему записи поддельных данных в кэширующие резолверы. Этот опыт еще раз доказал необходимость внедрения DNSSEC на авторитативных серверах провайдеров (например, регистраторов доменов). Данная опция, по мнению заместителя технического директора по специальным проектам RU-CENTER Павла Сухого, безусловно, поднимет престиж предоставляемого DNS-сервиса в глазах клиентов, а также снизит вероятность возможных негативных отзывов о компании, в случае атак, направленных на подделку записей в кэширующих серверах.

*протокол, в основном использующийся для трансляции сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных

Однако, как и прежде, развертывание DNSSEC непростая задача для провайдера: она сопряжена с целым рядом трудностей, в том числе законодательными. Так, для внедрения этого протокола необходима заметная доработка инфраструктуры услуги DNS, а также значительная и затратная во всех смыслах модернизация оборудования, чтобы повысить его нагрузоустойчивость и вычислительные мощности для автоматизированного подписания доменных имен клиентом в рамках  DNSSEC, однако часть такого оборудования не разрешена для использования, например, на территории России…

«По результатам общения с представителями различных компаний, - комментирует Павел Сухой, - у меня сложилось впечатление, что многие не спешат с внедрением DNSSEC, ожидая результатов опыта коллег по отрасли, опасаясь понести накладные расходы в виде существенного увеличения нагрузки на сетевую и серверную инфраструктуру…»