DNSViz：网站DNS安全精细观察

　　· DNSViz

　　为了帮助解决DNSSEC问题，Casey开发了一种基于网页的工具，称为DNSViz:

　　“该工具为DNS名称空间中的域名及其解析路径提供了DNSSEC认证链的可视化分析，通过网页浏览器适用于所有以太网用户。”

　　它强调并描述了该工具检测大的配置错误，以帮助管理员辨识和解决与DNSEC相关的配置问题。”

　　有些人可能会说本工具较为复杂，我未掌握DNSViz的复杂性，更不用说DNSSEC。因此我联系了Casey，询问了几个问题。

　　Kassner：为何你觉得需要创建DNSViz?

　　Deccio：DNS内在非安全性已经不是秘密。DNSSEC是保护DNS的主流社会成果。然而，从理解和配置两方面观点看，其给常规DNS带来的复杂性不是微不足道的。

　　如果无法解决这一复杂性，DNSSEC配置将被阻碍，这可能是因为贸易或者其它企业无法承受，或因为无法准确操作。

　　DNSViz用于通过DNSSEC方法，使其更加易于理解。它还直观演示的DNSSEC到那些不太密切的工作，但他们仍然可以欣赏漂亮的图片。

　　Kassner：什么情况下需要发出测试网站或其他在线业务信号?

　　Deccio：DNSViz提供了TechRepublic域名安全性的预览，也就是不管DNS解析器是否能够验证TechRepublic域中检索回复的正确性。与大部分公司相似，TechRepublic未采用DNSSEC配置，因此它表现为“不安全的”。

　　为什么有人会使用DNSViz分析他们的域名，主要有三种原因：

　　· 根据其DNSSEC状态，查看域当前状态

　　· 结合任意DNSSEC维护，包括初始配置，作为仔细检查。

　　· 调试与域名相关的DNSSEC问题。

　　Kassner：我向DNSViz输入www.TechRepublic.com，然后点击Go.，会发生什么呢?

　　Deccio：根据其上次分析的观点，DNSViz将产生一个www.TechRepublic.com的DNSSEC“信任链”的图形表示。如果使用Firefox或者Opera 网页浏览器，在不同组件之间检索，将得到所选中组件的额外信息。周期性重新分析名称，并且如果根据需要，重新分析。

　　Kassner：我测试了www.TechRepublic.com。这是结果。请说明我们能看出什么?

　　Deccio：关于DNSSEC最有趣的事情之一是其不安全性必须从上到下证明。TechRepublic.com结果是一个完美的例子。

　　DNSSEC的客户端验证的唯一原因将接受一个无符号 - 或非法的签署，对于这个问题 - 为TechRepublic.com响应是因为com区域提供记录(NSEC3)证明没有键可用来验证TechRepublic.com名称，据com知道。

　　信任链从顶部信任锚(双边界确定)，下降至com区域，并终止与NSEC3节点。由于该链完全贯穿这些NSEC3节点，验证解析器知道它不能判定任何有关TechRepublic.com安全性的任何事情。因此域内记录标记为“非安全的”。

　　Kassner：如果一次域测试失败，意味着什么?

　　Deccio：DNSViz是为了突出与域配置相关的问题。如果出现错误或警告，通常表示维护忽视、不兼容性或者配置错误引起的不一致性。域运营商必须采取行动纠正部分问题。DNSViz不是成品。在未来，我希望能够提供额外的辅助工具，以解决该工具检测到的所有问题，包括历史分析、解决一般名称问题和一些额外的功能。我们正在寻求额外的资金和合作机会，使DNSViz成为一个更丰富的资源工具。我将邀请在安全工具方面具有技术专长和兴趣，在桑迪亚联系我。

　　Kassner：我感觉到许多专家花费巨大的努力，试图更充分集成DNSSEC时产生挫折。你有同感么?

　　Deccio：DNSSEC或其它技术的配置，既需要技术途径，也需要激励。根据2010根区签署和主要的顶级域名，技术途径成为现实。许多企业和其它实体尚未看到配置激励。熟悉配置复杂性，我了解到：

　　· DNSSEC并非每个人所必需的 – 如果域净增益是最小的。

　　· 有很多人可以受益于DNSSEC部署，但没有提出任何进一步的努力。

　　我认为互联网社区能够这里学习到一些东西。DNS安全性解决方案在其当前状态-无论是在可用的工具，协议，或部署 - 他们将在边缘等待。当我们继续鼓励人民参与DNSEC配置时，我们必须改进并简化当前的方案工具。

　　Kassner：对于人们为何对技术尤其是类似DNS安全性的挑战性技术充满热情，我很感兴趣。在这一领域是什么吸引你如此大的兴趣?

　　Deccio：有许多关于DNS的开放性问题，并且社区相当活跃，虽然DNS已经经过25年。该领域足够开放，可受益于学术研究、设计;两领取的方案提供问题解答，并使所有以太网用户受益。

　　最后思考

　　我想提及桑迪亚国家实验室发布一份通讯员Mike Janes采访Casey的视频。

　　该视频贯穿了DNSViz的秘密。NDSSEC或类似东西是必需的。否则，将退化至无人信任以太网。感谢类似Casey Deccio等DNS专家的努力，可能更多的公司将开始使用DNSSEC。