Skal senke terskelen for sikker DNS

Åpen kildekode-verktøy utvikles av selskaper med toppdomene-ansvar.

Dagens domenenavnsystem for Internet, DNS, anses som usikkert, siden den åpne utforming åpner for angrep der trafikk til ett domene på Internett kan styres over til angriperens server. Dette kan blant annet gjøre det mulig for ondsinnede å få tilgang til innloggingsinformasjon, uten at ofrene merker noe. Også e-post og andre tjenester kan påvirkes på lignende måte.

Mange mener den eneste langsiktige løsningen på dette er en allmenn innføring av DNSSEC (Domain Name System Security Extensions), et sett med utvidelser til DNS som blant annet skal gi DNS-klienter autentisert opprinnelsesinformasjon om DNS-dataene, dataintegritet og autentisert benektelse av eksistens.

En internasjonal samling selskaper, med organisasjonene som er ansvarlige for .se, .nl og .uk i spissen, ønsker nå å gjøre det enklere for toppdomene-administratorer, Internett-leverandører, webhoteller og andre som drifter DNS-servere å innføre sikker DNS. Virksomhetene har derfor tatt initiativ til et prosjekt som har fått navnet OpenDNSSEC.

Prosjektet skal levere et gratis og åpen kildekode-basert verktøy med samme navn, som i stor grad skal forenkle og automatisere innføringen og vedlikeholdet av OpenDNSSEC hos de relevante virksomhetene. Dette verktøyet er nå tilgjengelig i en tidlig utgave.

OpenDNSSEC skal sørge for at ingen manuell administrering er nødvendig for å signere en sone eller å administrere de kryptografiske nøklene. Programvaren tar seg av hele prosessen fra usignerte til signerte soner. Det skal sikre at alle trinn i signeringsprosessen gjøres i riktig rekkefølge og til riktig tid.

Håndteringen av private nøkler assosiert med DNSSEC-signeringen har blitt sikret ved å bruke såkalte HSM-er (Hardware Security Modules), slik at de private nøklene ikke kan lekkes til en ikke-autorisert tredjepart, ved at nøklene oppbevares sikkert i maskinvare.

Programvaren støtter også en programvarebasert HSM, SoftHSM, for dem som ikke ønsker å gå til innkjøp av en virkelig HSM. Men det advares om at dette vil svekke sikkerheten.

Verktøyet utgis med en BSD-lisens som åpner for at koden kan inkluderes i kommersielle produkter som ikke er basert på åpen kildekode.

OpenDNSSEC fungerer på alle Unix-lignende operativsystemer og skal være egnet både for dem som bare skal signere én enkelt, stor sone, for eksempel et toppdomene, og for dem som har mange små soner, for eksempel webhoteller og andre selskaper med egen DNS-server.

- For å spre DNSSEC til den store massen av domenenavn må håndteringen omkring teknikken forenkles, sier Patrik Wallström, ansvarlig for DNSSEC ved .SE (Stiftelsen för Internetinfrastruktur), som har ansvaret for det nasjonale toppdomene i Sverige, i en pressemelding.

- Derfor har vi sammen med en rekke samarbeidspartnere utarbeidet OpenDNSSEC. Vi har kunnet utnytte vår driftserfaring for å utvikle et godt sammensatt og fleksibelt DNSSEC-verktøy som er enkelt å bruke og som eliminerer all håndspålegging. Nå kreves det ikke lenger detaljkunnskaper om protokollen hos de ansvarlige for navneserverne, som vil bruke dette, sier Wallström.

– För att sprida DNSSEC till den stora massan av domännamn måste hanteringen kring tekniken förenklas. Därför har vi tillsammans med en rad samarbetspartner tagit fram OpenDNSSEC. Vi har kunnat utnyttja vår driftserfarenhet för att utveckla ett välpaketerat, lättanvänt och flexibelt DNSSEC-verktyg som eliminerar all handpåläggning. Nu krävs inte längre detaljkunskaper om protokollet hos de namnserveransvariga som vill använda det, säger Patrik Wallström, ansvarig för DNSSEC på .SE.

Til toppen