» »

ICANN: Sistem DNS je v nevarnosti

ICANN: Sistem DNS je v nevarnosti

Slo-Tech - Organizacija ICANN za upravljanje vrhnjih domen interneta je izdala opozorilo, da za internetno infrastrukturo, od katere je odvisno delovanje domen in dostopnost storitev, obstaja veliko varnostno tveganje. Zaradi groženj za sistem imen domen (DNS) je ICANN pozval k čimprejšnji popolni uveljavitvi DNSSEC.

ICANN opozarja, da se v zadnjem času povečuje število napadov, ki ciljajo neposredno na infrastrukturo interneta. Zaradi tega so pripravili kontrolni seznam ukrepov, ki jih lahko ponudniki storitev izvedejo, da zmanjšajo možnost za napade in ublažijo posledice.

ICANN pojasnjuje, da se pojavljajo napadi, kjer se uporabljajo različne metodologije in napada več podstati interneta. To so napadi na DNS, kjer napadalci poizkušajo spremeniti zapise v strukturi domenskega prostora, kar bi rešil DNSSEC (Domain Name System Security Extensions). Ta ni univerzalna čarobna paličica, bi pa zaradi zaščite vnosov z digitalnimi podpisi kriptografsko preprečil nepooblaščeno spreminjanje in številne napade MITM. Da so napadi na DNS čedalje pogostejši, ugotavljajo tudi raziskovalci in podjetja, ki se ukvarjajo z omrežno varnostjo. DNSSEC bi to vrsto napadov, ki se pojavlja zlasti po letu 2017, preprečil.

10 komentarjev

war-dog ::

Toliko se govori o blockchain tehnologiji, mar nebi tukaj bil odličen primer uvedbe te tehnologije?
Object reference not set to an instance of an object.

Poldi112 ::

Ne.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

pegasus ::

Takoj za DNSSEC pride na vrsto BGPSEC. Nasploh je cel internet potreben korenite posodobitve za 21. stoletje, ker akademski idealizem na žalost ni najboljša izbira za realen svet ... In če smo že tu, lahko še IPv4 vržemo stran, pa smo dobri za 22. stoletje.

AštiriL ::

ali pa da sploh domen nebi uporabljali in bi bili IP-naslovi ASCII stringi, ISP bi dobil prefix naprimer S5 za Arnes recimo, in potem bi userji od tega ISPja rezervirali svoje suffixe, recimo S5s5Tech ali pa S5SloTech. Ker zakaj ne?
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

LeQuack ::

war-dog je izjavil:

Toliko se govori o blockchain tehnologiji, mar nebi tukaj bil odličen primer uvedbe te tehnologije?


O njej se govori izključno zato ker so nekateri dobro zaslužili, ne zaradi uporabnosti. Veliko stvari je uporabnih.
Quack !

AštiriL ::

ali pa da sploh domen nebi uporabljali in bi bili IP-naslovi ASCII stringi, ISP bi dobil prefix naprimer S5 za Arnes recimo, in potem bi userji od tega ISPja rezervirali svoje suffixe, recimo S5s5Tech ali pa S5SloTech. Ker zakaj ne?


poprava: ASCii=>base32
če bi browserji smatrali base32/62/nekaj takega kot veljavem IPv4 naslov, bi lahko že FGVPLQ pomenil strežnik, kar se da že dovolj dobro zapomniti. Chrome dovoli, da je IP kot hex (0x1F0FE6BA) in ne bo naredil Google searcha, vendar se bo v address baru pokazal octal IPv4 po vnosu HeX IPja...
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

Zgodovina sprememb…

  • spremenil: AštiriL ()

c3p0 ::

AštiriL je izjavil:

ali pa da sploh domen nebi uporabljali in bi bili IP-naslovi ASCII stringi, ISP bi dobil prefix naprimer S5 za Arnes recimo, in potem bi userji od tega ISPja rezervirali svoje suffixe, recimo S5s5Tech ali pa S5SloTech. Ker zakaj ne?


Domene in IP naslovi so nekaj čisto drugega. Domene z IP nimajo nič. Kako boš pa routal IP naslove, ki bi bili ASCII stringi? Težko.

Bakunin ::

pegasus je izjavil:

Takoj za DNSSEC pride na vrsto BGPSEC.


že RPKI bi rešil precej BGP hijacks...

AštiriL ::

Kako boš pa routal IP naslove, ki bi bili ASCII stringi? Težko.


Zakaj težko? Sicer sem se popravil -base32, routal bi ga prav tako kot IP naslov. Še vedno bi bil v osnovi n-bitni dvojiški string, le da bi ga namesto v octalni/šestnajstiški obliki (ipv4) ali šestnajstiški obliki (ipv6) pisali v base32 obliki, ki jo prav tako lahko convertamo v poljubno obliko. Res je da ASCii ne pride v poštev, saj posebni znaki (esc,bel,crtl,EUR&#@+()/) ne bi bili najbolj dobrodošli. Kot sem povedal, to bi bila stvar "clienta", ki pa itak nadrejenemu routerju (switchu) IP naslov sporoči v dvojiškem zapisu.

DNSja ne bi potrebovali.

EDIT: Vem, kaj je domena in kaj je IP naslov.

EDIT: ali pa namesto Base32 kakšen drug base, ki ga zapišemo z alphanumeričnimi znaki (base36...). Edino zmeniti bi se morali.
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

Zgodovina sprememb…

  • spremenil: AštiriL ()

HotBurek ::

Test dig DNSKEY t-2.si pokaže, da je edini iz spodnjega seznama, ki podpira DNSSEC, T-2. Še slo tek nima tega. :)

Test tool: https://dnssec-analyzer.verisignlabs.co...

Dejansko je zelo težko najti domeno, ki ima to urejeno.

telekom.si, siol.net, simobil.si, a-1.si, tusmobil.si, telemach.si, t-2.net, hot.si, mercator.si, krka.si, petrol.si, gen-i.si, hse.si, revoz.si, lek.si, gorenje.si, omv.si, impol.si, geoplin.si, cimos.si, poslo.si, dars.si, renault.si, hella-saturnus.si, talum.si, kemofarmacija.si, slo-tech.com, ds-rs.si, gov.si, cca.si, policija.si, ip-rs.si
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Slovenski registrarji in DNSSEC?

Oddelek: Omrežja in internet
71204 (1000) jype
»

Eden večjih DDoS-napadov na Spamhaus

Oddelek: Novice / Omrežja / internet
138675 (5654) Sixty9
»

Prihaja nova varna domena .secure?

Oddelek: Novice / Varnost
227330 (5638) Phantomeye
»

DNS/Bind9.xx zone update- zna kdo uporabit non-standard port ?

Oddelek: Omrežja in internet
122458 (2255) x.sci
»

"Gostitelja ni mogoče najti", nasvidenje

Oddelek: Novice / Omrežja / internet
423308 (3308) pivmik

Več podobnih tem