DNS安全扩展(DNSSEC)在企业的部署进展缓慢,但专家表示,DNSSEC比现有的证书颁发机构(CA)系统更好,企业对部署这种技术的迟疑可能是因为对其目的的误解。
《The Internet For Dummies》作者兼安全专家John Levine称,DNSSEC同时具有短期和长期的优势。
“主要的优点是,它可防止坏人伪造你的域名,让他们无法将自己的网站伪造成你的网站,”Levine表示,“更长远的优势是,你可以使用DNS来安全地发布各种新信息(最明显的是TLS证书),而不是让它们由第三方签名。”
然而,大家对于这个协议心生恐惧,因为据称它会方便政府监控数据。该理论认为,由于证书会存储在DNS中,如果政府控制重要的顶级域名(TLD),他们也将会控制用于验证这些证书的TLS加密的密钥。
Internet SOCiety协会高级内容战略家Dan York称,这种认为DNSSEC方便政府监控的说法是一个谬论,因为这从来不是该协议的意图。
“DNSSEC只做一件事情:保护存储在DNS中信息的完整性。DNSSEC确保你从DNS获取的域名信息正是该域名运营商放在DNS的相同信息,”York说道,“它没有做到的是保护通信的保密性,它没有加密这些信息,因为这并不是它的工作目标。DNSSEC可以确保你连接到正确的IP地址,但在你的计算机和这些IP地址之前的通信仍然可能受到监控。”
York称,对于政府控制大量域名的说法也不完全正确。
“国家代码顶级域名(ccTLD)通常由政府控制,这些都是两个字母的域名,例如.ly和.nl,”York表示,“而大多数通用顶级域名(gTLD)都是由不同的注册机构控制,例如.com、.org
以及新的gTLD–.bank、.foo、.photos等,并且,这些注册机构几乎都是私营公司,其中大部分是商业公司。”
虽然很多ccTLD由政府控制,最流行的ccTLD(例如.de和.uk)并不是由德国和英国政府控制,而是由私营公司控制。York称,对于有些由政府控制的gTLD,用户应该首先检查他们是否担心在这些域名泄露信息,但监控并不是政府控制的问题。
“由于ccTLD运营商控制ccTLD的域名注册,他们当然可以更改你域名的记录,指向另一组DNS域名 服务器 ,从而将你域名控制器交给另一个DNS运营商(这可能是他们自己),然后又更改DNS记录指向另一个网站,”York称,“DNSSEC在这里并不重要,因为ccTLD运营商可以控制TLD中的记录。”
根据Levin表示,这种情况几乎不可能发生,因为在信任链中有人会注意到异常情况。
“是的,政府会侵入所有地方,但考虑到现在的CA系统已经非常糟糕,我们没有理由相信DNSSEC会更糟,”Levin称,“此外,DNSSEC很难在不被发现的情况下受到攻击,因为人们很认真看待DNS,并且有很多冗余。”
Levin说, DNSSEC也许并不完美,但与证书颁发机构的问题相比,DNSSEC其实更好。同时,他表示可以理解为什么DNSSEC的部署进展缓慢,因为目前没有主流Web浏览器可以接受使用DNSSEC的TLS。
“它非常复杂,而且工具很糟糕。我的服务器有大约300个DNS区,虽然我全部在本地签名,但签名都会被忽略,除非更高级的DNS区使用DS(授权签字人)记录链接到我的密钥,”Levin称,“DNSSEC有两种类别,被称为NSEC和NSEC3。如果你使用NSEC,别人很容易列举你的区,即找出你的DNS区中所有的域名,这在有时候可能不方便操作。”当使用NSEC时,有关有效域名的信息被添加到针对不存在域名请求的DNS回复中;而在NSEC3中,这些信息会被模糊处理。
Levin称,即使“使用被动DNS,别人都可以非常接近你的DNS,而你无法阻止这一点。NSEC3解决了列举问题,但它让DNSSEC变得比现在更加复杂,让更新DNS区等操作变得更加困难。”
York也承认,DNSSEC协议也有问题,包括新增的操作要求、更大的DNS数据包、缺乏保密性,并可能使系统更容易攻破。不过,York称,最后一个问题可以通过很多安全技术来应对。
“从历史上来看,DNS服务器经常看到网络管理员设置的条条框框,然后通常忽视它们,因为可能影响其运行。添加DNSSEC需要对DNS服务器进行一些额外的操作,”York称,“由于签名,DNSSEC会让DNS数据包变得更大,这可能影响网络流量,而缓解这个问题的一种方法是使用具有较小密钥的签名。”
York表示,目前互联网工程任务组的DPRIVE工作组正在开展工作以保护计算机和DNS服务器之间的连接,以确保试图监控你流量的人不会看到通过本地网络发送的数据包中的DNS查询。同时,针对DNSSEC很多常见的问题的解决方案正在开发中。
“DNSSEC协议的优点在于,它从一开始就被设计为可以不断发展,”York称,“与安全问题和安全算法一样,该协议也可以不断进化。”
Intranet和Internet有什么区别?
Intranet是Internet技术在企业内部或闭合用户群内的实现,它的基本通信协议是TCP/IP协议,其中TCP使得内部网上的数据有序可靠地传输,IP 使内部网中的各个子网互联起来。
Intranet中的每一台设备都是以IP地址标识网络位置的。 因此在组建Intranet之前,要为网上的所有设备包括服务器、客户机、打印服务器等分配一个唯一的IP地址。 如果Intranet要与Internet相连,在规划内部网IP地址之前,应到有关部门办理申请Internet网的IP地址。
由于Internet上的IP地址比较紧张,申请到的IP地址可能不够分配给Intranet的每一个设备,这时仍需对Intranet的IP地址进行规划。 Intranet与Internet的连接,可通过代理服务器等手段实现。
企业广域网优化产品方案如何?
一、当前企业广域网存在问题:
大量的路由、网跨区域和跨运营商的情况
丢包和使用传输效率降低
交互过多导致传输效率差
企业广域网现有问题通过广域网加速解决方案可以解决。 数据经广域网络传输时,来自广域网技术限制的问题,如带宽紧张、延迟、广域网数据无序争抢带宽资源等。
广域网加速产品通过数据压缩、网络数据缓存、应用加速、应用控制管理等技术手段来真正提升应用系统的性能,重新界定现代企业网络,改善企业数据互联性能、降低成本,为业务发展提供所需的可靠性和效率。
二、广域网优化产品价值
改善企业应用表现。
降低网络使用成本。
提升企业互联可靠性。
三、广域网优化方案特点
可靠性高。 实施路径选择,多路传输,故障秒级切换,冗余编码。
多层次优化。 数据边缘交付,数据压缩,高性能传输,自适应传输。
管理方便。 易部署,集中配置,可视界面,监控报警。
MPLS对比IPSec,哪个比较好?
IPSec和MPLS是倍受欢迎的两种解决方案。
IPSec方案是通过IPSec技术建立安全数据隧道的解决模型,安全数据隧道本质上是提供独立封闭的数据包安全传输。 可以让用户同时使用Internet与虚拟网的多点传输功能(包括Internet/Intranet/ Extranet/Remote Access等) 。 IPSec因为其安全性和灵活性,已经成为在MPLS出现之前工业界主流的技术。
IPSec完全利用互联网,做到了只要接入Internet,就可以利用IPSEC来组建企业自己的网络,所有权限掌握在自己手中,任何业务上的调整,都可以自己实现,完全不依赖运营商。 随着电信“最后一公里”技术的实现,Internet真的做到了无处不在。 利用Internet的资源,采用IPSEC技术可以非常方便地在全球范围内,组建企业的虚拟专网。
MPLS方案是基于MPLS网络实现的,自2001年初MPLS协议被IETF组织发布以来,多协议标签交换(MPLS)已经被公认为下一代网络的基础协议,而MPLS也被认为是一种极具增值潜力的网络应用服务。
与IPSec不同,MPLS提供的安全数据隧道是通过标签交换路径(LSP)实现的。 它将路由选择和数据包转发分开,由IGP和BGP等协议管理路由,用标签交换技术转发数据包,实现第三层灵活多变的路由功能和第二层的满意的转发效率。
由于MPLS能够解决复杂的流量问题、服务质量、提供快速路由转发等优异特性,也令服务提供商和企业有足够的理由去尝试。
发表评论