Co to jest DNSSEC?


DNSSEC (Domain Name System Security Extensions) to rozszerzenie protokołu DNS wzmacniające jego bezpieczeństwo. DNSSEC tworzy bezpieczny system nazw domen, wprowadzając podpisy kryptograficzne. Dodawane są one do już istniejących rekordów DNS. DNSSEC opiera się na kryptografii klucza publicznego, certyfikatach i podpisach cyfrowych.

Informacje te są przechowywane na serwerach nazw DNS wraz z typowymi typami rekordów, takimi jak A, MX, CNAME itp.. W efekcie działania wyżej opisanych podpisów, istnieje możliwość weryfikacji wiarygodności rekordu DNS, a więc potwierdzenia czy żądany rekord DNS pochodzi z autorytatywnego serwera nazw. To potwierdzi także, czy nie został on zmieniony.

DNSSEC czyli ochrona protokołu DNS

Tłumacz to na prosty nietechniczny język: system który odpowiada za to, że po wpisaniu adresu domeny wyświetlana jest określona strona internetowa to system DNS. Nie jest to jednak system w pełni bezpieczny, a przynajmniej nie na tyle, aby mówić o 100% pewności, że to co widzimy jest tym co powinniśmy zobaczyć. Zasadniczą wadą protokołu (DNS) jest fakt, że każdy, kto będzie chciał uczynić coś złego, może skonfigurować serwer nazw domen, a następnie podsłuchiwać serwer DNS, wprowadzając własne odpowiedzi. Jak to rozumieć? Może fałszować odpowiedzi DNS a finalnie dostarczając użytkownikom, np. witryn, które podszywają się pod prawdziwe strony internetowe.

Zadaniem DNSSEC jest właśnie zapobieganie w/w sytuacji i wprowadzenie dodatkowej warstwy ochronnej, tak jak czynią to np. certyfikaty SSL. Tym samym DNSSEC to nie jedyne rozwiązanie, gdyż istnieją też inne rozszerzenia protokołu takie jak DNS przez TVP czy DNS przez HTTPS. Zwiększają prywatność danych. Możesz też spotkać się z pojęciem strefy polityki odpowiedzi, która to z kolei zmienia sposób w jaki rekurencyjne serwery DNS odpowiadają na zapytania.

DNSSEC bez wątpienia wprowadza dodatkową bardzo potrzebną w sieci Internet warstwę ochrony m.in. dla stron internetowych. Tym rozwiązaniem powinni interesować się administratorzy i właściciele stron, docelowo migrując swoje serwisy internetowe tam, gdzie usługodawca oferuje wsparcie dla ochrony DNSSEC. Jeśli jesteś właścicielem lub administratorem serwisu, w ramach którego użytkownicy pozostawiają swoje dane, to DNSSEC może skutecznie uchronić Twoich klientów przed próbami oszustwa i wyłudzenia informacji.

Zagrożenia dla bezpieczeństwa DNS

  • DNS spoofing, czyli podszywanie się pod serwer DNS:  atakujący może oszukać serwer DNS mapując fałszywą nazwę hosta lub fałszując wejście NS domeny docelowej do swojego adresu IP,
  • DNS zone transfer attack: Transfer strefy DNS to proces, w którym serwer DNS przekazuje kopię swojej strefy (bazy danych) na inny serwer DNS. Kopia strefy DNS może ujawnić wiele informacji topologicznych o Twojej sieci wewnętrznej.
  • uszkodzenie lub zmiana pamięci podręcznej / przechwytywanie danych
  • atak amplifikacji rozproszonej odmowy usługi (DDoS) DNS
  • używanie sfałszowanego adresu źródłowego IP, na który serwer DNS odpowiada ofierze,
  • i inne.

DNSSEC zapewnia dodatkowe uwierzytelnianie i integralność danych. Chroni przed zatruciem pamięci podręcznej oraz może chronić dodatkowe informacje za pomocą rekordów TXT. Wprowadzenie DNSSEC ma też  przełożenie na problemy związane z atakami DDOS oraz może powodować problemy z wdrożeniem podziału strefy. DNSSEC nie rozwiązuje problemów prywatności danych z DNS.

Problemy jakie mogą napotkać użytkownicy DNSSEC nie są jednak tak duże, jak korzyści które może uzyskać administrator i właściciel strony internetowej. DNSSEC to bez wątpienia skuteczna metoda ochrony przed wyłudzeniem danych.

Domeny internetowe już za 1 grosz dziennie!

Zarejestruj własny adres w Internecie już dziś. Nawet jeśli Twoja wymarzona domena jest zajęta, nasza inteligentna wyszukiwarka podsunie Ci dodatkowe możliwości.

Sprawdź, czy domena jest wolna Wyszukaj domenę

Odbierz 25 zł do wydania na empik.com

Polecaj usługi home.pl i zdobywaj za każde polecenie kupon o wartości 25zł do wydania na empik.com

Zdobądź swój kupon na 25zł Sprawdź jak

  • Czy artykuł był pomocny ?
  • Tak   Nie