从实施DNSSEC技术开始

　　问：你能阐明为了让DNS系统更加安全(通过DNS安全扩展，DNSSEC)，要实施什么补丁吗?企业需要采取任何行动吗?或者，这些DNS安全改进会清晰起来吗?

　　攻击者有时会尝试通过缓存污染攻击，即在服务器中添加恶意的错误DNS记录来操纵DNS记录。攻击者希望这些记录被分发给客户端机器，随后会引导用户不知不觉地访问恶意的web页面。

　　直到最近，为了抵御这种类型的攻击在客户端方面能做的也很少。但是DNS安全扩展(DNSSEC)技术的发布改变了这个事实，它允许对DNS记录应用数字签名技术并且保证给终端用户提供的记录是真实的。

　　对DNS进行安全防护的思想已经存在超过十年了，但是在制定技术细节上花费了很长的时间，同时对该技术的采纳十分缓慢。在过去的一年里，特别是在2010年黑帽大会上Dan Kaminsky宣布的DNS漏洞被公布于众之后，这个概念逐渐走出低谷。主要的网络和主机提供商例如Comcast和GoDaddy已经加入到部署DNSSEC的联合治理中。

　　如果你想在你的企业中从实施DNSSEC开始，你需要考虑两件事：修改你的终端来识别DNSSEC记录，以及修改你自己的DNS条目来支持DNSSEC查询。

　　在客户端方面，微软的Windows 7包含了内嵌的DNSSEC功能，可以通过活动目录的组策略对象来管理。该工具包括用于Linux系统的IDNS软件包，提供DNSSEC查询和故障排除功能。还有很多终端用户工具对流行的应用支持额外的DNSSEC验证，如Firefox、Thunderbird和SSH。

　　你可能还希望给你自己的DNS条目添加DNSSEC验证支持。如果你正在使用一个DNS主机提供商，同他们进行核实从而判断他们是否支持DNSSEC记录。这样，如果你管理自己的DNS记录，有许多DNSSEC教程资源可供你查阅。你可以阅读微软的Windows Server 2008 R2 DNSSEC部署指导，或者是BIND 9 管理员指导的DNSSEC章节进行了解。