DNSSEC가 인터넷을 보호하는 방법과 SOPA가 거의 불법으로 만든 방법
DNSSEC (Domain Name System Security Extension)은 인터넷의 약점 중 하나를 수정하는 데 도움이되는 보안 기술입니다. SOPA가 DNSSEC을 불법으로 만들었 기 때문에 SOPA가 통과하지 못한 것은 운이 좋았습니다..
DNSSEC은 인터넷에 실제로없는 장소에 중요한 보안을 추가합니다. 도메인 이름 시스템 (DNS)은 잘 작동하지만 프로세스의 어느 시점에서도 확인이 없으므로 공격자가 열어 볼 수 있습니다..
현 상황
우리는 DNS가 과거에 어떻게 작동했는지 설명했습니다. 간단히 말해서 "google.com"또는 "howtogeek.com"과 같은 도메인 이름에 연결할 때마다 컴퓨터가 DNS 서버에 접속하여 해당 도메인 이름과 연결된 IP 주소를 조회합니다. 그런 다음 컴퓨터가 해당 IP 주소에 연결합니다..
중요한 것은 DNS 조회에 관련된 검증 프로세스가 없다는 것입니다. 컴퓨터는 DNS 서버에 웹 사이트와 관련된 주소를 요청하고 DNS 서버는 IP 주소로 응답하며 컴퓨터는 "okay!"라고 말하고 행복하게 해당 웹 사이트에 연결합니다. 컴퓨터가 유효한 응답인지 확인하기 위해 멈추지 않습니다..
공격자가 이러한 DNS 요청을 리디렉션하거나 악의적 인 응답을 반환하도록 설계된 악성 DNS 서버를 설정할 수 있습니다. 예를 들어 공용 Wi-Fi 네트워크에 연결되어 있고 howtogeek.com에 연결하려고하면 해당 공용 Wi-Fi 네트워크의 악성 DNS 서버가 완전히 다른 IP 주소를 반환 할 수 있습니다. IP 주소는 피싱 웹 사이트로 연결될 수 있습니다. 웹 브라우저는 실제로 IP 주소가 howtogeek.com과 연관되어 있는지 확인하는 실제적인 방법이 없습니다. DNS 서버로부터받은 응답을 신뢰해야합니다..
HTTPS 암호화는 일부 확인을 제공합니다. 예를 들어 은행 웹 사이트에 연결하려고하면 주소 표시 줄에 HTTPS와 자물쇠 아이콘이 표시됩니다. 인증 기관이 해당 웹 사이트가 귀하의 은행에 속한다는 것을 확인했습니다..
손상된 액세스 포인트에서 은행 웹 사이트에 액세스하고 DNS 서버가 임 포스터 피싱 사이트의 주소를 반환 한 경우 피싱 사이트는 해당 HTTPS 암호화를 표시 할 수 없습니다. 그러나 피싱 사이트는 HTTPS 대신 일반 HTTP를 사용하여 대부분의 사용자가 차이점을 인식하지 못하고 온라인 뱅킹 정보를 입력하게됩니다..
귀하의 은행은 "저희 웹 사이트의 합법적 인 IP 주소입니다"라고 말할 수있는 방법이 없습니다.
DNSSEC의 도움 방법
DNS 조회는 실제로 여러 단계에서 발생합니다. 예를 들어 컴퓨터가 www.howtogeek.com을 요청하면 컴퓨터는 다음과 같은 몇 가지 단계에서이 조회를 수행합니다.
- 먼저 "루트 영역 디렉토리"에서 찾을 수있는 위치를 물어 봅니다 .com.
- 그런 다음 .com 디렉토리에서 찾을 수있는 위치를 묻습니다. howtogeek.com.
- 그런 다음 howtogeek.com에 어디에서 찾을 수 있는지 묻습니다. www.howtogeek.com.
DNSSEC에는 "루트 서명"이 포함됩니다. 컴퓨터가 .com을 찾을 수있는 루트 영역을 묻는 메시지가 나타나면 루트 영역의 서명 키를 확인하고 그것이 실제 정보가있는 합법적 인 루트 영역인지 확인할 수 있습니다. 그런 다음 루트 영역은 서명 키 또는 .com과 그 위치에 대한 정보를 제공하여 컴퓨터가 .com 디렉토리에 접속하여 합법적인지 확인합니다. .com 디렉토리는 howtogeek.com에 대한 서명 키와 정보를 제공하여 howtogeek.com에 연락하여 위의 영역에서 확인한 것처럼 실제 howtogeek.com에 연결되어 있는지 확인합니다..
DNSSEC이 완전히 공개되면 컴퓨터는 DNS 응답이 합법적이고 사실임을 확인할 수 있지만 현재 어떤 DNS가 가짜인지, 어떤 DNS가 실제인지를 알 수 없습니다.
암호화 작동 방식에 대한 자세한 내용은 여기를 참조하십시오..
SOPA가 수행 한 것
그렇다면 SOPA로 더 잘 알려진 Stop Online Piracy Act가 어떻게이 모든 것에 참여 했습니까? 음, SOPA를 따라 간다면, 인터넷을 이해하지 못하는 사람들이 SOPA를 작성했기 때문에 다양한 방식으로 "인터넷을 망가뜨릴"것이라고 생각합니다. 이것은 그들 중 하나이다..
DNSSEC는 도메인 이름 소유자가 자신의 DNS 레코드에 서명 할 수 있음을 기억하십시오. 예를 들어, thepiratebay.se는 DNSSEC을 사용하여 연관된 IP 주소를 지정할 수 있습니다. 컴퓨터가 google.com 또는 thepiratebay.se와 같은 DNS 조회를 수행 할 때 DNSSEC은 도메인 이름 소유자가 확인한대로 올바른 응답을 수신하고 있음을 컴퓨터가 판단 할 수있게합니다. DNSSEC는 단지 프로토콜 일뿐입니다. "좋은"웹 사이트와 "나쁜"웹 사이트를 차별하지 않습니다..
SOPA는 인터넷 서비스 공급자에게 "나쁜"웹 사이트에 대한 DNS 조회를 리디렉션하도록 요구했을 것입니다. 예를 들어, 인터넷 서비스 제공 업체의 가입자가 thepiratebay.se에 액세스하려고 시도하면 ISP의 DNS 서버가 다른 웹 사이트의 주소를 반환하여 해적 베이가 차단되었다는 것을 알려줍니다.
DNSSEC을 사용하면 DNSSEC가 방지하도록 설계된 중간자 (man-in-the-middle) 공격과 구별되지 않습니다. DNSSEC를 배치하는 ISP는 해적만의 실제 주소로 응답해야하므로 SOPA를 위반하게됩니다. SOPA를 수용하기 위해 DNSSEC에는 인터넷 서비스 공급자와 정부가 도메인 이름 소유자의 허가없이 도메인 이름 DNS 요청을 리디렉션 할 수있는 큰 구멍이 있어야합니다. 이것은 (불가능하지는 않지만) 안전한 방법으로 수행하는 것이 어려울 것이며, 공격자를위한 새로운 보안 허점을 열 가능성이 있습니다.
운 좋게 SOPA는 죽었고 희망적으로 돌아 오지 않을 것입니다. DNSSEC가 현재 배포 중이며이 문제에 대한 장기적인 해결 방법을 제공합니다..
이미지 크레디트 : Khairil Yusof, Flickr의 Jemimus, Flickr의 David Holmes