Исследователи из Национальной лаборатории Сандия создали инструмент для помощи ИТ-специалистам в решении проблем в работе системы безопасности Domain Name System Security Extension (DNSSEC), обязательной для использования на всех сайтах с расширением .gov.
Система Domain Name System (DNS) преобразует имя сайта из веб-ссылки в IP-адрес, являясь, таким образом, необходимой для любых операций в Интернете — от просмотра сайтов до проверки электронной почты. Безопасность DNS может быть нарушена из-за оставшихся незамеченными действий злоумышленников. Механизм DNSSEC повышает безопасность DNS, поскольку позволяет таким приложениям, как Web-браузеры и почтовые системы, удостоверять, что их IP-адреса не были подделаны. С 2008 г. Бюджетное управление Белого дома США потребовало внедрения механизма DNSSEC во все федеральные информационные системы. К сожалению, применение DNSSEC в государственных системах наткнулось на некоторые трудности.
“Механизм DNSSEC трудно правильно сконфигурировать и необходимо регулярно обслуживать, — объяснил Кейс Дессио, ИТ-специалист из Сандия. — Его применение резко повышает сложность всей системы, а в случае неверной настройки или установки на не полностью совместимые серверы пользователи лишатся доступа к сайтам .gov, получая вместо этого лишь сообщения об ошибке”.
Разработанная Дессио утилита DNSViz представляет собой “инструмент визуализации статуса DNS-зоны”. Он отображает всю цепочку аутентификации DNSSEC, выделяя и описывая проблемы, которые находит в ее функционировании. В результате упрощается конфигурирование и администрирование DNSSEC.
Текущая версия DNSViz работает через Web-интерфейс. Дессио планирует расширить ее функционал механизмом оповещений и открытыми интерфейсами программирования (API). Со временем с помощью этой утилиты можно будет выполнять постоянный мониторинг состояния и безопасности DNS.
В настоящий момент Дессио проводит тестирование DNSViz на серверах Сандии в Калифорнии, контролируя более 100 тыс. имен DNS. Несколько раз в день система успешно выполняет анализ конфигурации DNS всей организации.