เมื่อวันพุธที่ 25 กุมภาพันธ์ ที่ผ่านมา ได้มีโอกาสไปร่วมงานเสวนาและสัมมนาเชิงปฏิบัติการ DNSSEC เป้าประสงค์หลักของผู้จัดคือ ต้องการกระตุ้นผู้ที่เกี่ยวข้องกับการให้บริการอินเทอร์เน็ต บริการธุรกรรมต่างๆ บนอินเทอร์เน็ต รวมไปถึงผู้ให้บริการโฮสติ้ง ตระหนักและเห็นความสำคัญของการรักษาความปลอดภัยระบบ Domain Name System (DNS) ซึ่งก็คือ DNS Security Extensions หรือเรียกสั้นๆ ว่า DNSSEC นั่นเอง นอกจากนั้นยังต้องการผลักดันให้เกิดการนำ DNSSEC ไปใช้งานอย่างจริงจังอีกด้วย
ถ้ายังพอจำได้ เมื่อปีที่แล้ว ข่าว DNS Cache Poisoning ดังเปรี้ยงปร้างไปทั่วโลก Dan Kaminsky เองก็เรียกร้องให้รีบนำ DNSSEC มาใช้งานโดยเร็วที่สุด
รายละเอียดทางเทคนิคลึกๆ ผมเองยังไม่ค่อยเข้าใจมากนัก แต่โดยหลักการก็คือว่า ถ้ามีการ implement DNSSEC ในระบบ DNS แล้วนั้น การถาม-ตอบ (query-response) ชื่อโฮสต์จะมีขั้นตอนและวิธีการเพิ่มมากขึ้น เพื่อตรวจสอบและยืนยันกันไปยืนยันกันมา (โดยเฉพาะจากผู้ตอบไปยังผู้ถาม) ว่า เอ้ย! ใช่แล้วนะ นี่ฉันเจ้าของโดเมนเนมที่เธอถามมา ตัวจริงเสียงจริง เพราะฉะนั้นมั่นใจได้เลยว่า ข้อมูลที่ฉันตอบเธอกลับไปไม่หลอกไม่ลวงแน่นอน
แนวเทคนิคของ DNSSEC คิดว่าหาอ่านเองได้ ไม่น่ายากนะครับ (ผมก็เข้าข่าย ต้องทำความเข้าใจอีกเยอะ เพราะคงได้ใช้แน่ๆ)
ประเด็นคำถามติดใจก็มีนิดหน่อย เกี่ยวกับผลกระทบของ overhead ที่เกิดขึ้น การบริโภคทรัพยากรจะเพิ่มขึ้นมากน้อยแค่ไหน ทั้งในแง่ของ server resources (cpu, memory, etc.) รวมไปถึง internet bandwidth
ซึ่งภายในงานวันนั้น วิทยากรทั้งสองท่าน ได้แก่ Olaf M. Kolkman จาก NLnet Labs และ Patrik Wallström จาก .SE (คนหลังนี่เป็นหนึ่งในผู้ implement DNSSEC ของ .SE เป็นประเทศแรกในโลก)ได้นำเสนอผลการทดสอบ กราฟแสดงผลเปรียบเทียบระหว่างใช้และไม่ใช้ DNSSEC โดยสรุปว่า consumption ต่างๆ ที่เพิ่มขึ้นนั้นไม่มีนัยสำคัญ เล็กน้อยมากเมื่อเปรียบเทียบกับความปลอดภัยที่ได้รับเมื่อใช้ DNSSEC (ที่ CircleID ก็มีบทความเกี่ยวกับประเด็นนี้ และก็สรุปแบบเดียวกัน)
โดยส่วนตัว ผมคงต้องใช้เวลาศึกษา [อีกแล้ว] ซักแป๊บ ก่อนจะลงมือกระทำการใดๆ ลงไปกับระบบ
ในประเทศไทย หวังว่า DNSSEC คงจะไม่เป็นนวนิยายเล่ายาว เล่านาน เล่าจนผู้ฟังงวยงง พากันเลิกฟัง แบบ IPv6 หรอกนะ ฝั่งคนเล่าเองหรือก็เหนื่อย จะเลิกเล่ากันซะหมดแล้ว -- สงสัยต้องมีซักกรณีหนักๆ ที่โดน hacker เล่นงานผ่านทาง dns รับรอง DNSSEC บูมบะระฮึ่มแน่ๆ
สุดท้ายต้องขอขอบคุณผู้จัด THNIC, UniNet (sponsor), intERLab/AIT รวมถึงผู้มีส่วนเกี่ยวข้องทุกท่าน มา ณ ที่นี้ด้วยครับ
[อ่าน DNSSEC จาก Pensri's Blog]
ปล. ผมเคยเจอปัญหา name server resolve โดเมนภายใต้ .se ได้บ้างไม่ได้บ้าง ซึ่งส่วนใหญ่จะไม่ได้ ตอนนั้นสาเหตุเพราะว่าตอนที่ compile BIND9 ไม่ได้ configure แล้วใส่ --with-openssl เข้าไปด้วย
TechNo!
เทคโนโลยีบันทึก ของคนโนเทค
Search
Followers
Feeds
Archives
- June 2010
- January 2010
- December 2009
- August 2009
- July 2009
- June 2009
- May 2009
- April 2009
- March 2009
- February 2009
- January 2009
- December 2008
- November 2008
- October 2008
- September 2008
- August 2008
- July 2008
- June 2008
- May 2008
- April 2008
- March 2008
- February 2008
- January 2008
- December 2007
- November 2007
- October 2007
- September 2007
- August 2007
- July 2007
- June 2007
- May 2007
Links
- Alistair Cockburn
- Ars Technica
- CircleID
- Dark Reading
- DNSBL Resource
- Dr.Dobb's Portal
- Free Software Magazine
- Google Web Toolkit
- ha.ckers.org
- Homo-Adminus Blog
- Hot Links
- ICONS
- Internetwork Expert's CCIE Blog
- Iron Wil
- ITtoolbox
- Jermiah Grossman
- OpenDNS Blog
- o3: magazine
- PracticallyNetworked.com
- RootPrompt
- SANS Institute
- SecGuru
- SecuMania Security Portal
- SecurityFocus
- SecurityForest
- SPAM Resource
- StorageMojo
- Technology Bites
- Terry Zink's Anti-spam Blog
- ThaiAdmin
- TYPO3 blog.Resource
- Webware
- Wired News
- Ma.gnolia Bookmarks
Labels
- .mpp (1)
- 32C3500T (1)
- 3G (2)
- Abuse (1)
- ACMA (1)
- Agile (1)
- Agile Modeling (1)
- allway sync (1)
- Amaya (1)
- amazon (1)
- Application (1)
- arp (1)
- arp spoofing (1)
- arpalert (1)
- ArpON (1)
- arpwatch (1)
- attack (1)
- backup (1)
- BackupPC (1)
- Bandwidth (2)
- BGP (1)
- BGPSSEC (1)
- BICC (1)
- bind (3)
- Black box (1)
- Blacklist (2)
- Block Website (2)
- Blocking smtp (1)
- bookmark manager (1)
- Border Gateway Protocol (1)
- Botnet (1)
- Brand (1)
- BSD (1)
- CACert (1)
- capture (1)
- CARP (1)
- CERT (1)
- Certification (2)
- clip (1)
- CMS (2)
- Collaboration (1)
- comodo backup (1)
- computer crime (1)
- Conference (1)
- Content Management System (1)
- Corrupted Registry (1)
- CWE (1)
- Cybera (1)
- Cybercrime Law (2)
- Data (1)
- Debian (1)
- Department of Electrical Engineering (1)
- DHS (1)
- die (1)
- dns (9)
- DNS Cache Poisoning (2)
- DNSBL (1)
- DNSSEC (1)
- Document Management (1)
- document repository (1)
- Doing Business (1)
- Domain (1)
- Domain Kiting (1)
- Domain Name System (1)
- Domain Tasting (1)
- Dot-decimal notation (1)
- dpreview (1)
- drawing (1)
- drop down menu shadow probel (1)
- Drupal (1)
- DUL (1)
- DVD Player (1)
- DVP5166K/98 (1)
- DVP5986K/98 (1)
- Dynamic IP Address (1)
- E-Mail (2)
- eHow (1)
- Emerging Threats (1)
- ENUM (1)
- Error (2)
- Everthing (1)
- Expense Diary (1)
- expression (1)
- filter (1)
- Firefox (1)
- Firefox extension (1)
- Firefox3 (1)
- Fixing (1)
- folder synchronization (1)
- free (1)
- free web-based email (1)
- freeware (2)
- Future (1)
- G219 (1)
- Gateway (1)
- Gmail (1)
- GNet (1)
- Google (5)
- Google Apps (1)
- Google Scraping (1)
- Google Search (2)
- graph (1)
- gtalk-2-voip (1)
- header_checks (1)
- Hijack (2)
- Hotmail (2)
- How-To (1)
- Howtoforge (1)
- http (1)
- IANA (1)
- ICANN (1)
- Identity Management (1)
- IETF (2)
- Inflect (1)
- Information (1)
- Interconnection charge (1)
- International Bandwidth (1)
- Internet (7)
- Internet Café (1)
- Internet Society (1)
- intranet (1)
- ip address blocklist (1)
- IPv4 (2)
- ipv6 (9)
- ISMS (1)
- ISO27001 (1)
- ISOC (1)
- ISP (1)
- Israel Institute of Technology (1)
- IT Crowd (1)
- IT Security (1)
- ITU Telecom Asia 2008 (1)
- ITU-T (1)
- JMRP (1)
- Joomla (1)
- Junk (1)
- keepalive message (1)
- KeePass (1)
- LCD TV (1)
- Life (1)
- Linux (2)
- LISP (1)
- Live.com (1)
- load balancer (2)
- log server (2)
- ma.gnolia (1)
- Mail (1)
- Mantis (1)
- microsoft project (1)
- Mobile Number Portability (2)
- Mobile Operator (1)
- mobile phone (3)
- monitor (1)
- mrtg (1)
- MSN Postmaster (2)
- MySQL (2)
- name server (1)
- NAT (1)
- Net Tools (1)
- netflow (1)
- NetSA (1)
- Network (2)
- Network Access Control (1)
- Network Neutrality (1)
- Network Registration (1)
- Networker (1)
- New (1)
- Next Generation Network (1)
- nfdump (1)
- nginx (2)
- NGN (1)
- NLS (1)
- Nothing (1)
- ntfs-3g (1)
- ol'bookmarks (1)
- Old (1)
- Open Souce (1)
- Open Source (1)
- OpenCARE (1)
- OpenDNS (1)
- OpenID (1)
- OpenSAM (1)
- opensource (7)
- Oracle (2)
- Oracle XE (1)
- Owl (1)
- Oxford Internet Institute (1)
- P2P (1)
- PacketFence (1)
- palm (1)
- Panasonic Lumix ZS3 (1)
- pantip (1)
- parking (1)
- PCI (1)
- pen (1)
- Perl (1)
- Pew Internet (1)
- PHILIPS (1)
- Photoshop (1)
- php (3)
- PLB (1)
- port (1)
- postfix (1)
- Powerpoint (1)
- PPPoE (1)
- Prefix (1)
- Presentation (1)
- Privacy (1)
- Privoxy (1)
- programming (1)
- protocol (1)
- query (1)
- rebinding attack (1)
- Recover (1)
- recursive (2)
- replication (1)
- Repository (1)
- reverse dns (1)
- Robin Harris (1)
- root servers (1)
- rotate (1)
- round robin database (1)
- Routing (2)
- RPKI (1)
- rrd (1)
- rrdtool (1)
- rsync (1)
- SANS (1)
- Scalability (2)
- Scalable File System (1)
- scalable web (1)
- Science (1)
- screen (1)
- Screengab (1)
- script (1)
- SDSC (1)
- Search Engine (1)
- Seattle (2)
- security (2)
- Session (1)
- Share (1)
- Shell Script (1)
- SIGTRAN (1)
- Simple (1)
- Single Sign On (2)
- Single Sign-On (1)
- SIP (1)
- SIP-I (1)
- SlideShare (1)
- smtp (1)
- SNDS (1)
- software (1)
- software developer (1)
- Software development (1)
- Software Project Management (1)
- Software Systems Lab (1)
- SONY (1)
- sourceforge (1)
- Spam (5)
- Spammer (1)
- SplashID (1)
- SSL Certificate (1)
- storage (1)
- StorageMojo (1)
- Strata Guard Free (1)
- Subdomain (1)
- Sun Fire V120 (1)
- Support (1)
- tcp (1)
- tcpdump (1)
- tech talks (1)
- Technology (2)
- TH8TISASCII (1)
- Thai Blog (1)
- this blog for (1)
- tonpo (1)
- tool (3)
- Toshiba (2)
- Traffic Engineering (1)
- Trafiic Utilization (1)
- Transition (1)
- Trend Micro (1)
- Treo 600 (1)
- turn off (1)
- turn on (1)
- TYPO3 (2)
- udp (1)
- unix (1)
- Untangle (1)
- url filtering (2)
- url redirect (1)
- Value (1)
- video (2)
- video resume (1)
- Virus (1)
- visio (1)
- Vulnerable (1)
- W32.Autoit.Obfus (1)
- waterworks (1)
- Web Editor (1)
- web server (1)
- Webshots (1)
- windows (1)
- Windows XP (1)
- xDSL (1)
- XOOPS (1)
- กทช. (1)
- สำรองข้อมูล (1)
- หมดอายุ (1)
- โดเมนเนม (1)
0 Responses to เสวนา DNSSEC
Something to say?