DNSSEC i OpenDNSSEC

Poboljšanja sigurnosnih sistema kod DNS-a

U hotelu „Moskva”, 16. i 17. maja u organizaciji RNIDS-a je održana radionica na kojoj je predstavljen softver za digitalno potpisivanje zona na DNS serverima OpenDNSSEC, rešenje otvorenog koda. Tom prilikom postavili smo nekoliko pitanja Patriku Volstromu (Patrik Wallstrom) iz Švedskog nacionalnog registra internet domena, menadžeru .SE projekta, i Aleksandru Kostadinoviću, sistem administratoru iz Registra nacionalnog internet domena Srbije.

SK: Kada je počela primena i u kojoj je sada fazi?

Patrik: Počeli smo 1999. godine, kada je razvoj standarda bio na samom početku. Pratili smo i pomogli standardizaciju procesa u okviru IETF (Internet Engineering Task Force).

Tokom 2003. ili 2004. godine odlučili smo da izvršimo implementaciju DNSSEC u zoni .SE, šest meseci nakon objavljivanja standarda od strane IETF i raspoloživosti radnog koda u BIND-u. Dobili smo sekundarni NameServer i resolver operatore, koji su poslužili za testiranje.

U septembru 2005. godine potpisali smo .SE zonu, a u januaru 2007. godine je praktično sve funkcionisalo sa DNSSEC-om – svi interfejsi za komunikaciju sa registrom, relacija registar-registrant, sistem rezervacije domena, whois itd.

SK: Recite nam nešto više o rešenju predstavljenom na RNIDS-ovoj radionici u Beogradu.

Patrik: Od lansiranja 2005. godine, dva puta smo menjali DNSSEC rešenje za potpisivanje. Naš prvi potpisnik bile su BIND skripte (BIND je poznati softver za DNS, prim. red), kao i manualni Key Management System (indeksni fajl). U prvoj iteraciji naučili smo mnogo o problemima upravljanja ključevima. U drugoj iteraciji koristili smo prvu verziju OpenDNSSEC-a sa Sun SCA6000 HSM (Hardware Security Module) karticom. Ti HSM-ovi bili su bazirani na PCI, pa smo imali mnogo problema u pogledu dokumentacije, podrške operativnog sistema, stabilnosti sistema, a ubrzo je i Oracle odlučio da ih postepeno povuče.

To je dovelo do sada aktuelnog softvera za potpisivanje koji koristi verziju 1.3 OpenDNSSEC-a sa Safe Net Luna 5 mrežom HSM-ova.

SK: Do kada se očekuje da većina DNS servera na svetu bude pokrivena ovom vrstom sigurnosnog mehanizma?

Patrik: Od kada je Root potpisan, interesovanje je neverovatno veliko. Ipak, još postoji više od 200 nepotpisanih domena najvišeg nivoa, iako većina njih sada ozbiljno razmišlja o potpisivanju. Mnogi registri rade na integrisanju potpisnika u njihovu infrastrukturu, ali imajući u vidu to da su u industriji registrovanja domena margine vrlo male, DNSSEC nije visoko na listi njihovih prioriteta. Iz tog razloga smatram da razvoj neće biti brz, osim ukoliko ne učinimo da DNSSEC-om potpisani domeni budu jeftiniji od nepotpisanih.

Naše mišljenje je da potpisani domeni treba da budu jeftiniji, možda i da to čak bude obavezno. Samo bi potpisani domeni trebalo da se subvencionišu.

SK: Objasnite nam razliku između DNSSEC i OpenDNSSEC.

Aleksandar: DNSSEC je tehnologija, skup pravila i specifikacija kojima se obezbeđuje da odgovori i informacije koje pruža DNS server budu tačni i nepromenjeni. To je skup sigurnosnih ekstenzija koje omogućavaju da klijent dobije autentičan odgovor od DNS servera.

OpenDNSSEC je softversko rešenje otvorenog koda pomoću kojeg se pruža mogućnost potpisivanja DNS servera, čime on postaje DNS server sa implementiranim DNSSEC ekstenzijama.

SK: Da li se očekuje da internet čitači (browseri) implementiraju sistem za proveru ili će to rešenje biti na nivou dodataka?

Aleksandar: Pretpostavlja se da će razvoj internet čitača pratiti tempo implementacije DNSSEC ekstenzija na DNS serverima širom Interneta. Međutim, trenutno je problem proveravanja DNSSEC na serverima rešen na nivou dodataka i svi najpopularniji internet čitači već su pokriveni odgovarajućim dodacima.

SK: Za kada se planira početak implementacije u Srbiji?

Aleksandar: Početak implementacije ove tehnologije planira se za sledeću godinu.

Petar LONČAREVIĆ