CloudFlare теперь упрощает защищать информацию DNS, поскольку это помогает продвинуться операционный и усилия по стандартам для принятия DNSSEC.Система доменных имен является ядром к функциональной работе Интернета, соединяя доменные имена с IP-адресами.
Все же несмотря на решающую роль DNS в интернет-инфраструктуре, надлежащей безопасности информации DNS в основном недоставало, который является чем-то, что CloudFlare теперь стремится изменять.Информация DNS подвергается риску отравляться или управляться способами, которые могли разрушить способ, которым работает Интернет. Назад в 2008 исследователь в области безопасности Дэн Каминский предупредил относительно «веб-Судного Дня» благодаря уязвимости DNS, которая, возможно, включила нападения.
В то время как определенный дефект в DNS, о котором сначала предупредил Каминский, был исправлен семь лет назад, долгосрочным решением для обеспечения DNS является технология под названием DNSSEC (безопасность DNS Расширения). DNSSEC обеспечивает криптографическую целостность и подлинность для получения информации DNS.Проблема с DNSSEC, однако, состоит в том, что это сложно и трудно развернуться.
Это – проблема, которую CloudFlare взял в течение 2015. В марте CloudFlare объявил о Виртуальной Службе безопасности DNS, которая предоставляет начальную поддержку для DNSSEC. Теперь, CloudFlare разворачивает свои усилия DNSSEC, предлагая универсальную услугу DNSSEC всем его клиентам бесплатно.«Проблема с DNSSEC не так вокруг технической реализации, но больше вокруг удобства пользования», сказали Мэтью Принс, соучредитель и CEO CloudFlare, eWEEK.
Другая проблема, которая появилась в последние годы, состоит в том, что атакующие используют записи DNSSEC как часть нападений распределенного отказа в обслуживании (DDoS) усиления DNS. В нападении усиления атакующий использует законный запрос DNS, но тогда усиливает его при помощи большого количества узлов для сокрушения жертвы. Часто существует много данных в запросе DNS, который смотрит на запись DNSSEC, сказал принц.
Часть развертывания CloudFlare DNSSEC минимизирует размер криптографических записей, чтобы помочь ограничить риск усиления DNS. CloudFlare использует Ключевой Алгоритм 13, который является реализацией шифрования в эллиптических кривых, которая включает меньшие рекордные размеры для DNSSEC, по словам принца.Компания также работает над проблемами развертывания DNSSEC с точки зрения администратора домена.«Мы делаем его одним щелчком простой для клиента теперь включить DNSSEC», сказал принц. «Нет никакого византийского выбора, и существует очень мало, Вы можете сделать для завинчивания его».
Фактический процесс, однако, действительно предпринимает несколько шагов для включения на большинстве типов доменов верхнего уровня. После того, как пользователь нажимает кнопку для получения DNSSEC, CloudFlare генерирует запись DNSSEC, которую пользователь должен будет тогда скопировать и взять их собственному доменному регистратору, сказал принц. Пользователи должны будут зарегистрироваться в их собственного доменного регистратора, скопировать DNSSEC, записывают и сохраняют новую полную запись.
«Загрузка на часть регистратора еще более трудна, чем это должно быть», он признал.У принца, однако, есть план сделать процесс еще более сквозным.
«Мы думаем, что точно так же, как SSL/TLS [Уровень защищенных сокетов / безопасность Транспортного уровня] шифрование работает глубоко в Интернете, мы должны сделать его таким образом, что DNSSEC находится только на по умолчанию», сказал он. «Чтобы сделать это, мы должны устранить шаг, где доменный держатель должен загрузить новую запись на их доменного регистратора».Один способ сделать, который должен сделать, чтобы организации по стандартизации позволили провайдерам DNS, таким как CloudFlare обеспечить записи DNSSEC непосредственно в регистраторов. С этой целью существует теперь предложение перед Инженерной группой по развитию интернета (IETF), которая включит просто это.
Среди первых регистраторов в мире, которые будут поддерживать инициативу CloudFlare, dot.ca канадский доменный реестр верхнего уровня.«Таким образом, если Вы – клиент CloudFlare, и у Вас есть dot.ca домен, DNSSEC является автоматическим», сказал принц. «Мы уверены, что в течение долгого времени больше провайдеров реестра будет поддерживать это усилие».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.