5 мая этого года служба имен Интернета DNS
переходит на новый, более защищенный протокол под названием DNSSEC.
Последствия этого перехода могут быть самыми непредсказуемыми для
пользователей, которые выходят в Интернет через неправильно
сконфигурированные брандмауэры или пользуются услугами недостаточно
расторопных провайдеров. Протокол DNSSEC отличается от обычных DNS-запросов наличием цифровой
подписи. Считается, что подписывание запросов и серверов DNS поможет
сделать современный Интернет более безопасным. Во всяком случае, новый
протокол полностью исключает атаки на службу DNS с использованием таких
уязвимостей, как та, что нашел
и описал Дэн Камински в июле 2008 года. Сейчас
новый протокол осторожно внедряется на корневых серверах имен DNS. В
мае этого года на новый протокол с цифровыми подписями должны перейти
все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не
поддерживающие полностью протокол DNSSEC, больше не смогут даже
отправить электронную почту, не говоря уже о комфортном просмотре
веб-сайтов. Причина возможных сбоев заключается в принципиальных
отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS
использует транспортный уровень UDP (отправка без ожидания
подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие
модели сетевого оборудования содержат в заводских настройках запрет на
прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC,
которые будут передаваться с корневых DNS-серверов, имеют размер гораздо
больше 512 байт, так что немалая доля сетевого оборудования может
просто перестать работать с новым протоколом. Конечно,
некоторые модели сетевых устройств могут перейти на транспортный
протокол TCP для обмена информацией с DNS-серверами, но это резко
повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут
затрачиваться на установление и поддержание соединений. Еще одна
проблема связана с тем, что некоторые провайдеры, а также органы
Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов. Возможным решением проблемы может стать
технология EDNS0 (Extension Mechanisms for DNS – механизмы расширения
для службы имен), но этот стандарт, 10 лет назад принятый организацией
IETF, так и не получил повсеместного распространения. Кит Митчелл (Keith
Mitchell), глава инженерного подразделения в компании Internet Systems
Consortium, обслуживающей корневые DNS-серверы, считает, что EDNS0
является главным и единственным инструментом для борьбы с возможными
проблемами при переходе на протокол DNSSEC на предприятиях и в сетях
независимых Интернет-провайдеров. Проверить
совместимость используемой вами службы DNS с протоколом DNSSEC можно с
помощью инструкций на сайте DNS-OARC или путем запуска Java-приложения
ReplySizeTest с сайта RIPE. Домашним пользователям беспокоиться не
стоит – все равно без участия провайдера сделать будет ничего нельзя.
