Ошибка в настройке DNSSEC привела к блокировке сайта NASA

В результате неправильного конфигурирования сервиса Domain Name System Security Extensions (DNSSEC) сайт NASA оказался недоступным для пользователей. Национальное агентство по аэронавтике и исследованию космического пространства столкнулась с трудностями настройки, которые часто сопутствуют переходам на новую технологию.

Это стало ярким примером одной из проблем, с которой могут столкнуться администраторы при ручном процессе конфигурирования DNS-серверов с целью поддержки нового протокола безопасности. Протокол DNSSEC была разработан для защиты клиентов от атак на DNS, например, таких как «засорение кэша DNS» (DNS cache poisoning), при которой хакер «обманывает» сервер DNS, записывая в кэш некорректные данные DNS, что позволяет ему перенаправлять запросы пользователей на другой хост.

NASA неправильно подписала DNSSEC во время перехода на новый протокол безопасности на прошлой неделе, в результате чего DNSSEC-сервис интернет-провайдера  Comcast автоматически заблокировал доступ к сайту. Comcast стал одним их первых крупных интернет-провайдеров в США, которые с начала года начали использовать протокол DNSSEC в качестве одного из своих базовых сервисов.

По чистой случайности, проблемы с сайтом NASA случились именно в тот день, когда Интернет протестовал против принятия SOPA. В результате многие пользователи ошибочно посчитали, что Comcast таким образом принимает участие в протесте вместе с другими компаниями. Но, как уже упоминалось выше, причина была в другом в другом и недавно развернутый DNSSEC-сервис в Comcast сослужил хорошую службу при детектировании неправильной цифровой подписи для домена NASA.

Джейсон Ливингуд (Jason Livingood), вице-президент подразделения Internet Systems Engineering в компании Comcast Cable Communications, сообщил, что Comcast проанализировала  проблему и обнаружила, что она связана с подписью домена. Джейсон отметил, что это не первый случай, когда они сталкиваются с подобными неприятностями.

NASA сделала ошибку при выполнении двойной подписи. Домен nasa.gov был подписан с помощью новой пары ключей, однако обратный поток данных от домена “.gov” использовал старую пару ключей, которые агентство не применяло в процессе подписи. Такой просчёт и послужил причиной того, что доступ к сайту оказался заблокирован.

Comcast опубликовал детальный отчёт о случившемся со своими рекомендациями настройки DNSSEC (скачать).

#  #

Читайте также:

NASA відкриває МКС для комерційного бізнесу. Скільки буде коштувати політ в космос?

Найвизначніші космічні події 2018 року

Колонії на Місяці — навіщо і що для цього потрібно?

Яке буде житло на Марсі — закінчився ще один етап конкурсу NASA 3D-Printed Habitat Challenge