Internet bene comune

Il DNS richiede una sicurezza "globale"

Il DNS, per la sua natura gerarchica e distribuita, richiede una gestione globale.

Ci troviamo oggi di fronte ad una realtà in continuo divenire, in una società dinamica e digitalizzata che basa molte delle sue attività su Internet. In particolare, il Domain Name System (DNS) riveste un ruolo rilevante nella società moderna e nel 2007 l’IETF DNS Extensions Working Group (dnsext) dopo un ampio dibattito, l’ha identificata come "una infrastruttura Internet critica". I sistemi bancari e finanziari, le infrastrutture energetiche non sono più esposti semplicemente a minacce di sicurezza tradizionali, ma anche a nuove minacce quali ad esempio quelle legate alle reti IP e al DNS. Come diretta conseguenza, reti di telecomunicazione e DNS sono diventate quindi a loro volta un bersaglio appetibile per la criminalità organizzata, che sfrutta la scarsa attenzione generalmente prestata per la sicurezza e la resilience dei DNS. La “falla” più evidente in termini di sicurezza del DNS è sicuramente costituita dal fatto di essere sempre stato, sin dagli albori del suo concepimento, un protocollo privo di qualsiasi meccanismo atto a proteggere l’integrità delle informazioni distribuite e ad autenticarne la fonte. Tale mancanza potrebbe essere colmata attraverso l‘implementazione a livello globale del DNSSEC, estensione dl protocollo DNS, che mediante l’uso di meccanismi crittografici consente di garantire l'effettiva origine dei dati DNS, l’integrità dei dati ricevuti e le asserzioni di non esistenza. Inoltre risulta necessario definire un framework condiviso di analisi dello stato di sicurezza del DNS per aiutare organismi nazionali, operativi e di regolamentazione, direttamente o indirettamente impattati dalla stato di funzionamento del DNS, a valutarne lo stato di salute del DNS, nell’ottica di supportare la definizione di più oculate politiche di gestione, piani di contingenza, modifiche architetturali delle proprie infrastrutture tenendo conto dell’impatto stesso del DNS.

Inoltre il DNS, data la sua natura globale, gerarchica e distribuita, richiede una gestione globale. Gli attori del DNS dovrebbero poter condividere le conoscenze su vulnerabilità, minacce, strategie di mitigazione, incidenti di sicurezza, esperienze, metodologie, best practice, lesson learned e strumenti per la gestione degli incidenti. Solo con queste premesse, i singoli attori potranno essere in grado di identificare correttamente i rischi e gli impatti.

A tal fine, potrebbe essere costituito un DNS-CERT. Ad oggi esistono CERT a livello nazionale, regionale e mondiale, il cui ambito però non coincide con l'ecosistema DNS.

Tags

Voting

10 votes
Active
Idea No. 136