Теме: Информатичко друштво | Умрежавање

DNSSEC – нови смак Интернета?

Скраћена веза: http://pedja.supurovic.net/veza/4104

Ових дана, интернет стручњаци упозоравају да нам се можда приближава глобални проблем који може да онеспособи део Интернета.

Ради се о томе да ће 5. маја сви рут сервери увести унапређени DNSSEC протокол. Ова промена ће имати ефекат на глобалном нивоу, а постоји вероватноћа да велики број мрежних уређаја нису компатибилни са новим протоколом изазову проблеме.

Неки од читалаца се сигурно сећају помаме око проблема двехиљадите године и ограничења тадашњих рачунара у записа датума. Тада је најављиван својеврсан смак света, који се није десио.

Шта је ДНС

Интернет комуникација се заснива на нумеричким адресама (ИП адресе). Сви рачунари који су на мрежи имају додељене јединствене адресе. Да би се са неким рачунаром могла остварити веза, сервис мора знати његову адресу и обратити му се преко ње.

Међутим, ИП адресе су бројеви које је тешко памтити, тако да нису баш погодни за људе. Људи лакше памте обична имена. Зато је уведен додатни систем адресирања који се заснива на текстуалним адресама, управо оним које свакодневно користимо за приступ сајтовима, за имејл и друге сервисе.

Кад год укуцате неку адресу у веб читач, он мора да ту адресу претвори у нумеричку да би могао да заиста оствари комуникацију. Информације те врсте даје ДНС сервис. Рачунар ће се обратити ДНС-у и од њега тражити која ИП адреса одговара траженој текстуалној адреси, када добије информацију наставља комуникацију са траженим рачунаром и вама приказује странице са жељеног сајта.

А где је проблем?

Управо због његовог виталног значаја за функционисање Интернета, ДНС сервис је мета напада злонамерника. Постоје начини да се узурпира ДНС сервис, „затрује“ измењеним подацима и да се преко њега корисници преусмере на сервер нападача. Тада нападач добија заиста велике могућности злоупотребе.

С обзиром да је проблем озбиљан одлучило се да се пређе на сигурнију варијанту ДНС сервиса DNSSEC. Упрошћено то је исти ДНС сервис само проширен протоколом који уводи сигурносне кључеве, тако да се обезбеђује провера да ли су подаци које ДНС зона садржи исправни, односно неовлашћено мењани.

Када решење постане проблем

Прелазак на DNSSEC протокол може да изазове озбиљне проблеме не само на системима који не подржавају овај протокол (то се да решити ажурирањем сервиса и уградњом подршке за нови протокол), већ и на уређајима који посредно утичу на ДНС севис, најпре рутерима.

Наиме, ДНС сервис је познат као севис који троши мало сервиса. Он користи УДП протокол а његови пакети су веома мали. Због тога многи рутери намерно ограничавају величину УДП пакета на 512 бајтова, а пакете који су већи од тога сматрају аномалијом или чак злонемерним, те их не пропуштају. На многим рутерима је ово фабрички подешено и чак и не постоји могућност да корисник промени то ограничење.

DNSSEC протокол, због потребе преноса кључева, прелази ограничење од 512 бајтова. Његови пакети су по правилу већи од 1024 бајта. То значи да DNSSEC упити неће пролазити кроз рутере који ограничавају дужину УДП пакета на 512 бајтова. Проблем је озбиљан јер може погодити много уређаја и то код великог  броја корисника.

Поред рутера, проблем могу да изазову и разни сервиси који пресрећу ДНС упите без лоших намера, рецимо због кеширања, или обезбеђења подршке у случају да упит нема резултат (упућивање на неки претраживач или слично). Ако они нису прилагођени за DNSSEC протокол, практично ће одсећи од Интернета своје кориснике.

Очекује се да један од већих извора проблема могу бити лоше конфигурисани ДНС сервери који шаљу упите за DNSSEC али неће имати имплементирану подршку за њега. Рецимо, популарни BIND подразумевано шаље такав упит чак и ако у њега није уграђена подршка. До сада то није било проблем јер DNSSEC није ни коришћен па су такви упити завршавали као обичан ДНС, али ће се то сада променити.

Последице

Најпре, увођење DNSSEC протокола не значи искључење ДНС протокола. Напротив, ДНС сервери ће и даље одговарати и на обичне ДНС упите на исти начин као и до сада. Ко не користи DNSSEC неће наичи на проблеме. Само ако ДНС упит захтева DNSSEC, добиће га. Логично је очекивати да ако неко тражи DNSSEC зна шта ће са њим да уради. Проблем може да се јави ако неки од рутера на путањи конекције ограничава УДП на 512 бајтова и тако онемогући DNSSEC пакете да стигну до одредишта.

Не може се тачно проценити у којим размерама ће се проблем појавити али је сасвим јасно да ће га бити. Има предвиђања катаклизмичних размера али и оних много умеренијих.

Заиста, може се десити да и цели интернет провајдери остану одсечени од Интернета, то јест, све ће функционисати осим ДНС сервиса. Ипак, не треба очекивати да таквих провајдера буде много. Они по правилу користе квалитетну опрему за умрежавање која омогућава да се проблем лако реши и ако неко од њих буде погођен то ће пре бити због необавештености и неправовремене припреме, него због ограничења саме опреме коју користе.

На крају крајева, DNSSEC је већ неко време уведен на .org домену и није изазавао много проблема. С обзиром да је .org домен у шпирокој употреби, може се сматрати да ако он ради како треба, радиће и сви остали домени.

Шта предузети

Интернет рповајдери би требало да су већ проверили своју опрему и сервисе и усагласили их са DNSSEC протоколом. Но, и ви сами можете да извршите проверу своје интернет везе већ сада, пре него што се проблем појави.

Преузмите џава програм за тестирање, покрените га на свом рачунару и истестирајте рутере који су битни за вашу везу. По покретању, програм ће сам утврдити који вам је најближи рутер тако да њега можете одмах испитати, али омогућава да укуцате адресу било ког другог рутера тако да можете проверити било који. Погледајте и кратко упутство за овај програм да бисте разумели како да тумачите резултате теста.

Како ћете сазнати адресе рутера је на вама, пошто то у многоме зависи од вашег интернет провајдера. Није лоше ни да се обратите провајдеру и затражите да вас обавести да ли је припремљен за прелазак на DNSSEC протокол.

Ако већ дођете у ситуацију да вам ДНС почне правити проблеме, увек можете свој рачунар подесити да користи неки јавни ДНС сервис доступан преко Интернета. Можете употребити ГуглДНС или ОпенДНС. Они не користе DNSSEC протокол те ће вам тако сигурно пакети пролазити кроз све рутере.

А на крају крајева, највероватније нећете приметити ама баш никакву разлику.


Поделите овај чланак са пријатељима


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *