Teme: Informatičko društvo | Umrežavanje

DNSSEC – novi smak Interneta?

Skraćena veza: http://pedja.supurovic.net/veza/4104

Ovih dana, internet stručnjaci upozoravaju da nam se možda približava globalni problem koji može da onesposobi deo Interneta.

Radi se o tome da će 5. maja svi rut serveri uvesti unapređeni DNSSEC protokol. Ova promena će imati efekat na globalnom nivou, a postoji verovatnoća da veliki broj mrežnih uređaja nisu kompatibilni sa novim protokolom izazovu probleme.

Neki od čitalaca se sigurno sećaju pomame oko problema dvehiljadite godine i ograničenja tadašnjih računara u zapisa datuma. Tada je najavljivan svojevrsan smak sveta, koji se nije desio.

Šta je DNS

Internet komunikacija se zasniva na numeričkim adresama (IP adrese). Svi računari koji su na mreži imaju dodeljene jedinstvene adrese. Da bi se sa nekim računarom mogla ostvariti veza, servis mora znati njegovu adresu i obratiti mu se preko nje.

Međutim, IP adrese su brojevi koje je teško pamtiti, tako da nisu baš pogodni za ljude. Ljudi lakše pamte obična imena. Zato je uveden dodatni sistem adresiranja koji se zasniva na tekstualnim adresama, upravo onim koje svakodnevno koristimo za pristup sajtovima, za imejl i druge servise.

Kad god ukucate neku adresu u veb čitač, on mora da tu adresu pretvori u numeričku da bi mogao da zaista ostvari komunikaciju. Informacije te vrste daje DNS servis. Računar će se obratiti DNS-u i od njega tražiti koja IP adresa odgovara traženoj tekstualnoj adresi, kada dobije informaciju nastavlja komunikaciju sa traženim računarom i vama prikazuje stranice sa željenog sajta.

A gde je problem?

Upravo zbog njegovog vitalnog značaja za funkcionisanje Interneta, DNS servis je meta napada zlonamernika. Postoje načini da se uzurpira DNS servis, „zatruje“ izmenjenim podacima i da se preko njega korisnici preusmere na server napadača. Tada napadač dobija zaista velike mogućnosti zloupotrebe.

S obzirom da je problem ozbiljan odlučilo se da se pređe na sigurniju varijantu DNS servisa DNSSEC. Uprošćeno to je isti DNS servis samo proširen protokolom koji uvodi sigurnosne ključeve, tako da se obezbeđuje provera da li su podaci koje DNS zona sadrži ispravni, odnosno neovlašćeno menjani.

Kada rešenje postane problem

Prelazak na DNSSEC protokol može da izazove ozbiljne probleme ne samo na sistemima koji ne podržavaju ovaj protokol (to se da rešiti ažuriranjem servisa i ugradnjom podrške za novi protokol), već i na uređajima koji posredno utiču na DNS sevis, najpre ruterima.

Naime, DNS servis je poznat kao sevis koji troši malo servisa. On koristi UDP protokol a njegovi paketi su veoma mali. Zbog toga mnogi ruteri namerno ograničavaju veličinu UDP paketa na 512 bajtova, a pakete koji su veći od toga smatraju anomalijom ili čak zlonemernim, te ih ne propuštaju. Na mnogim ruterima je ovo fabrički podešeno i čak i ne postoji mogućnost da korisnik promeni to ograničenje.

DNSSEC protokol, zbog potrebe prenosa ključeva, prelazi ograničenje od 512 bajtova. Njegovi paketi su po pravilu veći od 1024 bajta. To znači da DNSSEC upiti neće prolaziti kroz rutere koji ograničavaju dužinu UDP paketa na 512 bajtova. Problem je ozbiljan jer može pogoditi mnogo uređaja i to kod velikog  broja korisnika.

Pored rutera, problem mogu da izazovu i razni servisi koji presreću DNS upite bez loših namera, recimo zbog keširanja, ili obezbeđenja podrške u slučaju da upit nema rezultat (upućivanje na neki pretraživač ili slično). Ako oni nisu prilagođeni za DNSSEC protokol, praktično će odseći od Interneta svoje korisnike.

Očekuje se da jedan od većih izvora problema mogu biti loše konfigurisani DNS serveri koji šalju upite za DNSSEC ali neće imati implementiranu podršku za njega. Recimo, popularni BIND podrazumevano šalje takav upit čak i ako u njega nije ugrađena podrška. Do sada to nije bilo problem jer DNSSEC nije ni korišćen pa su takvi upiti završavali kao običan DNS, ali će se to sada promeniti.

Posledice

Najpre, uvođenje DNSSEC protokola ne znači isključenje DNS protokola. Naprotiv, DNS serveri će i dalje odgovarati i na obične DNS upite na isti način kao i do sada. Ko ne koristi DNSSEC neće naiči na probleme. Samo ako DNS upit zahteva DNSSEC, dobiće ga. Logično je očekivati da ako neko traži DNSSEC zna šta će sa njim da uradi. Problem može da se javi ako neki od rutera na putanji konekcije ograničava UDP na 512 bajtova i tako onemogući DNSSEC pakete da stignu do odredišta.

Ne može se tačno proceniti u kojim razmerama će se problem pojaviti ali je sasvim jasno da će ga biti. Ima predviđanja kataklizmičnih razmera ali i onih mnogo umerenijih.

Zaista, može se desiti da i celi internet provajderi ostanu odsečeni od Interneta, to jest, sve će funkcionisati osim DNS servisa. Ipak, ne treba očekivati da takvih provajdera bude mnogo. Oni po pravilu koriste kvalitetnu opremu za umrežavanje koja omogućava da se problem lako reši i ako neko od njih bude pogođen to će pre biti zbog neobaveštenosti i nepravovremene pripreme, nego zbog ograničenja same opreme koju koriste.

Na kraju krajeva, DNSSEC je već neko vreme uveden na .org domenu i nije izazavao mnogo problema. S obzirom da je .org domen u špirokoj upotrebi, može se smatrati da ako on radi kako treba, radiće i svi ostali domeni.

Šta preduzeti

Internet rpovajderi bi trebalo da su već proverili svoju opremu i servise i usaglasili ih sa DNSSEC protokolom. No, i vi sami možete da izvršite proveru svoje internet veze već sada, pre nego što se problem pojavi.

Preuzmite džava program za testiranje, pokrenite ga na svom računaru i istestirajte rutere koji su bitni za vašu vezu. Po pokretanju, program će sam utvrditi koji vam je najbliži ruter tako da njega možete odmah ispitati, ali omogućava da ukucate adresu bilo kog drugog rutera tako da možete proveriti bilo koji. Pogledajte i kratko uputstvo za ovaj program da biste razumeli kako da tumačite rezultate testa.

Kako ćete saznati adrese rutera je na vama, pošto to u mnogome zavisi od vašeg internet provajdera. Nije loše ni da se obratite provajderu i zatražite da vas obavesti da li je pripremljen za prelazak na DNSSEC protokol.

Ako već dođete u situaciju da vam DNS počne praviti probleme, uvek možete svoj računar podesiti da koristi neki javni DNS servis dostupan preko Interneta. Možete upotrebiti GuglDNS ili OpenDNS. Oni ne koriste DNSSEC protokol te će vam tako sigurno paketi prolaziti kroz sve rutere.

A na kraju krajeva, najverovatnije nećete primetiti ama baš nikakvu razliku.


Podelite ovaj članak sa prijateljima


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Popunite izraz tako da bude tačan: *