OpenDNSSEC

[turbo]

[size="3"]Новый проект поможет повысить защищенность DNS серверов[/size]

Группа разработчиков объявила о выходе открытого ПО, способного облегчить жизнь системным администраторам и сделать службу разрешения имен менее подверженной атакам со стороны хакеров. Проект, названный OpenDNSSEC, помогает автоматизировать многие задачи, связанные с практической реализацией расширений безопасности для DNS (DNSSEC).

DNSSEC представляет собой набор протоколов, позволяющих добавлять электронную подпись к записям DNS. Необходимость такой защиты возникла из-за несовершенства дизайна системы разрешения имен, который разрабатывался задолго до выхода сети Интернет на глобальный уровень. Как следствие, сервера DNS постоянно становятся мишенью хакерских атак.

Для проведения успешной атаки злоумышленнику необходимо подменить записи в DNS сервере на свои собственные. Тогда пользователь, набрав в поле ввода URL браузера желаемый правильный адрес, все равно попадет на web-сервер хакера. Одним из способов предотвращения такой атаки, называемой «отравленный кэш», является криптографическая подпись записей в домене.

Хотя спецификация DNSSEC имеет статус международного стандарта уже более 10 лет, практического применения она до сих пор не получила. Отчасти это связано с трудностями, возникающими при работе с электронными ключами. Из-за того, что ключи необходимо периодически обновлять, любая ошибка на этом этапе может стать фатальной для целой ветви интернет доменов или даже для всей сети. OpenDNSSEC, основываясь на наборе заранее установленных правил, позволяет управлять и контролировать правильность электронных подписей доменов. Причем, этот процесс полностью автоматизирован и выполняется асинхронно, что сводит к минимуму влияние на основную функцию DNS - разрешение имен.

Программное обеспечение OpenDNSSEC доступно для загрузки с официального сайта проекта. Разработчики предупреждают, что текущая реализация является тестовой версией, не предназначенная для регулярного использования.

http://www.opennet.r...shtml?num=22814

[turbo]

[size="3"]Релиз OpenDNSSEC, пакета для автоматизации процесса создания DNSSEC записей[/size]

Представлен первый стабильный релиз проекта OpenDNSSEC 1.0.0, позволяющего автоматизировать процесс создания DNSSEC записей для зон и организовать проведение ротации ключей. Программа распространяется под лицензией BSD и доступна для широкого диапазона операционных систем (*BSD, Linux, Solaris, MacOS X).

Имеется поддержка работы с модулями HSM (Hardware Security Modules) для организации безопасного хранения закрытых ключей. При отсутствие HSM модуля имеется возможность использования эмулятора SoftHSM. Для передачи данных с ключами используется стандарт PKCS#11, из хэшей поддерживаются RSA/SHA1 и SHA2. Механизм работы не зависит от используемого авторитарного сервера - поддерживается как BIND, так и NSD. OpenDNSSEC является масштабируемым решением и может обслуживать зоны состоящие от единиц до миллионов записей, при этом ключи могут быть распределены между несколькими зонами.

http://www.opennet.r...shtml?num=25388