Kaminsky：DNSSEC解决跨组织可信性和安全问题

　　【TechTarget中国原创】网络安全研究员Dan Kaminsky有一年的时间来回忆他在域名服务器(DNS)上发现的缓存投毒漏洞的影响。Kaminsky在去年的黑帽大会简报揭示了这种技术，结果利用漏洞变得更简单了，并使攻击者可以把网络请求重新定向到恶意网站。在这段时间，Kaminsky已经成为了改善DNS安全性，最终信任互联网络的倡导者。可以采用的方法之一是使用DNSSEC(DNS安全扩展， DNS Security Extensions)，在本质上是把PKI(公钥基础设施)增加到网站请求中。在这次采访中，Kaminsky谈到了采用DNSSEC可以给网络带来更大的安全性和可信性，并为新的安全产品和服务的开发提供了新的平台。

　　在公布了DNS缓存投毒缺陷后的一年里，你怎么看了解DNS安全问题后所带来的影响，以及大范围采用DNSSEC的活动?

　　Dan Kaminsky:在我震惊和惊喜的时候，大家都在修复解决这个问题。这一年没有发生让人高兴的事情。在最近关于网络安全的奥巴马讨论中得出的统一结论是这些问题需要用更严肃的态度对待，而且我们把自己从洞里捞上来的唯一方式是抛弃旧的边界、限制和规则，我们需要协同一致。我们在挣扎，忽视问题并不能解决困境。DNSSEC让人感兴趣不是因为她可以修复DNS，而是因为它允许我们以系统和可升级的方式修复互联网的核心问题。现实是：可信性不是在政府边界中出售的。我们有非常非常多的系统，可以允许公司识别自己的员工。在公司只处理自己事情的时间上，这是很伟大的。我们没有生存在那个世界里，已经很多年了。

　　DNSSEC如何帮助修复这些问题?

　　Kaminsky: Verion数据泄露调查报告(Verizon Data Breach Investigations Report)中很吸引人的一点是如果出现了攻击，40% 的时候是利用漏洞，60%的时候是认证漏洞时期。认证漏洞是认证信任状的问题，而且任何事情都会发生。在末日，我们为什么使用密码呢?这是我们可以使用的，甚至是跨越组织边界员工工作的韦一的认证技术，而且是目前范围内的事物。我们已有的跨组织边界的可信性工作方式不再起作用了。密码不能用了，用来取代密码的证书也不能用了。

　　DNS执行跨组织地址管理已经有25年，而且作用很好。DNS是没有密钥的最大的PKI。DNSSEC所作的就是增加密钥。它使这个系统良好运行了25年，我们的可信性问题是跨组织的，而且在跨组织操作上采用了最好的互联网技术，并赋予了它可信性。如果我们做对了，我们就可以看到每个公司的新产品和服务都是围绕一个可信性根本的事实，以及可以跨组织边界的可信性代表系统。

　　现在是2009年了，我们email也不安全。当我们采用了DNSSEC的时候，我们就可以建立安全的email并保护它在堆栈中的活动。很多人都购买了在实验室中可以为几个部门工作的产品，一旦他们采用了，它就不能工作了，就不得不丢弃。我厌倦了这类事情的发生，研究了只为了销售而设计的系统。我想要看到系统的范围比他们销售目标的客户要打。这是在单一的组织内部设计的每个产品的问题。我们不是生活在只有一个组织的世界上，每件事物的潜力都很大。理想化的企业是不存在的。我们需要这类问题才能走的更远。

　　DNSSEC的配置以及在政策上障碍严重到什么程度?

　　Kaminsky：好的一方面是我们已经有了一场战争了，而这场战争就是根本，DNS的根本。一旦这场战争胜利了，一切都结束了。我认为很多人都会说“如果没我们采用了DNSSEC，Kaminsky发现的缺陷就没有问题了。”他们是对的。

　　基本的工作都是为DNS根本所做的，而且非常大的顶级域名都需要用符号标明。如果我们找到了这些符号，就可以接管市场，你就处于公司采取单一行动的情况下，所有的产品都可以工作。你可以说‘作为配置这个程序的一部分，需要在域名服务器上配置DNSSEC’这是要求，一次性完成，然后再100个其他程序都可以起作用，这是安全没有考虑到的方面，保证它的安全不会花费太多的时间或者金钱。如果和理论上正确但是成本很高解决方案相比，人们会选择不安全的方案。

　　DNSSEC没有无价值的成本，但是成本可以在策略、合规、企业收益等处分期支付。我们可以指出认证缺陷的数量，可以消除Verion发现的30% 的漏洞。这个数字很大。现在我们没有可以让认证跨组织工作的方法，因此它的资金消耗非常高。如果我们解决了这个问题，就可以节约资金。这叫作商业模式，是好事情。

　　现在有人认为企业不会在大型的DNSSEC上头则，除非出现了对DNS的重大功绩。你认为呢?

　　Kaminsky:我正要擂鼓，但是我认为人们没有全面认识到DNSSEC不是因为DNS才用吸引力的。DNSSEC的缺乏是所有其他协议被破坏的原因。60% 的攻击的发生是因为脆弱的认证——知道为什么认证不够强大吗?因为它要做好每件事太昂贵了。DNSSEC可以提供更好的认证技术，那是我们还不曾想到的技术。

　　看看每一项想要跨企业运作的技术是如何运行的。想要跨企业发送邮件?使用DNS。这是芥便DNSSEC位置的原因。

　　.org和.gov的域名都使用DNSSEC的重要程度如何?

　　Kaminsky:你需要从根本上采用。.com需要采用。现在，.org比.com更安全，但是长此以往就不是这样了。.com的数量巨大，一个巨大的技术挑战就是如何采用。现实是除了一些技客(geek)，没有人会用不同的方式管理大量的TLD，并保留密钥，还要做各种客户工作。DNS服务器可以真实的运行它们。你设置了一个域名服务器，变得越来越多，他们都不是活跃管理的事物。

　　为了使用这项技术，需要从root上签署，所以运行激活了DNSSEC域名服务器的的成本不比非DNSSEC服务的成本高。我听说管理员需要所要求的工作，如果我没有做这项工作，我的域名服务器就会宕机，我的决定就会无效。我对它没有兴趣，在运行DNSSEC服务器和运行DNS服务器一样简单的事后再回来。

　　在谈到DNS安全的时候，情况比18个月前是不是有了好转呢?

　　Kaminsky:去年以前，没人重视它。后来，很多人都说：“我们告诉你会这样了，我们说了如果DNS出问题了，就会是大问题”，而且我说道的大量的攻击都已经谈论了很多年了，这也是DNSSEC在开始就取得投资的原因。

　　现在是新的情景了，互联网是社会进行商业活动的巨大组成部分。不只是对某些人，而且已经很多年了。对互联网问题的了解达到最高水平也不奇怪。

　　这是合作和合作实际利益的需要。说到突变，DNSSEC就是我们努力改善的，但是合作的态度和结果就是我们现在所有的，而且非常惊人。每个人都应该料届这项工作做得很好，而且让互联网更加安全了。

　　【美国TechTarget独家授权】 Kaminsky interview: DNSSEC addresses cross-organizational trust and security

　　【原创内容，版权所有，谢绝转载。TechTarget中国将保留追究其法律责任的权利。】