Інтернет може закінчитися 5-го травня

5 травня цього року служба імен Інтернету DNS переходить на новий, більш захищений протокол під назвою DNSSEC. Последствіяетого переходу можуть бути самими непередбачуваними для користувачів, які виходять в Інтернет через неправильно сконфігуровані брандмауери іліпользуются послугами недостатньо спритних провайдерів.

Відео: БПАН запрошення 5 травня 2017

Протокол DNSSEC відрізняється від звичайних DNS-запитів наявністю цифрового підпису. Вважається, що підписування запитів і серверів DNS допоможе сделатьсовременний Інтернет більш безпечним. У всякому разі, новий протокол повністю виключає атаки на службу DNS з використанням таких вразливостей, както, що знайшов і описав Ден Камінські в липні 2008 року.

Зараз новийпротокол обережно впроваджується на кореневих серверах імен DNS. У травні цього року на новий протокол з цифровими підписами повинні перейти всі 13 корневихсерверов. З 5 травня всі брандмауери і провайдери, які не підтримують повністю протокол DNSSEC, більше не зможуть навіть відправити електронну пошту, не кажучи вже про комфортному перегляду веб-сайтів. Причина можливих збоїв полягає в принципові відмінності протоколу DNSSEC. Справа в тому, стандартнийпротокол DNS використовує транспортний рівень UDP (відправка без очікування підтвердження) і пакети розміром менше 512 байт. Саме тому багато моделісетевого обладнання містять в заводських налаштуваннях заборона на прийом UDP-пакетів розміром більше 512 байт. Підписані пакети DNSSEC, які будутпередаваться з кореневих DNS-серверів, мають розмір набагато більше 512 байт, так що чимала частка мережевого обладнання може просто перестати работатьс новим протоколом.

Відео: Новини / 5 травня 21:00 / анонс

Звичайно, деякі моделі мережевих пристроїв можуть перейти на транспортний протокол TCP для обміну інформацією з DNS-серверами, але це різко повисітнагрузку на канали передачі даних. Додаткові ресурси витрачатимуться на встановлення і підтримання з`єднань. Ще одна проблема пов`язана стем, що деякі провайдери, а також органи Інтернет-цензури в Китаї підміняють вміст відповідей від DNS-серверів.

Можливим вирішенням проблеми може стати технологія EDNS0 (Extension Mechanisms for DNS - механізми розширення для служби імен), але цей стандарт, 10 років тому прийнятий організацією IETF, так і не отримав широкого розповсюдження. Кіт Мітчелл (Keith Mitchell), глава інженерного підрозділу вкомпаніі Internet Systems Consortium, яка обслуговує кореневі DNS-сервери, вважає, що EDNS0 є головним і єдиним інструментом для боротьби з можливістю проблемами при переході на протокол DNSSEC на підприємствах і в мережах незалежних Інтернет-провайдерів.

Перевірити сумісність використовуваної вами служби DNS з протоколом DNSSEC можна за допомогою інструкцій на сайтіDNS-OARC або шляхом запуску Java-додатка ReplySizeTest з сайтуRIPE. Домашнім користувачам турбуватися не коштує - все одно без участі провайдера зробити буде нічого не можна.

За матеріалами сайту The Register