DNSSEC (Domain Name System Security Extensions) to rozszerzenie protokołu DNS wzmacniające jego bezpieczeństwo. DNSSEC tworzy bezpieczny system nazw domen, wprowadzając podpisy kryptograficzne. Dodawane są one do już istniejących rekordów DNS. DNSSEC opiera się na kryptografii klucza publicznego, certyfikatach i podpisach cyfrowych.
SPIS TREŚCI
W efekcie działania wyżej opisanych podpisów istnieje możliwość weryfikacji wiarygodności rekordu DNS, a więc potwierdzenia czy żądany rekord DNS pochodzi z autorytatywnego serwera nazw. To potwierdzi także, czy nie został on zmieniony.
DNSSEC, czyli ochrona protokołu DNS
Tłumacz to na prosty nietechniczny język: system, który odpowiada za to, że po wpisaniu adresu domeny wyświetlana jest określona strona internetowa to system DNS. Nie jest to jednak system w pełni bezpieczny, a przynajmniej nie na tyle, aby mówić o 100% pewności, że to, co widzimy, jest tym, co powinniśmy zobaczyć. Zasadniczą wadą protokołu (DNS) jest fakt, że każdy, kto będzie chciał uczynić coś złego, może skonfigurować serwer nazw domen, a następnie podsłuchiwać serwer DNS, wprowadzając własne odpowiedzi. Jak to rozumieć? Może fałszować odpowiedzi DNS, a finalnie dostarczając użytkownikom, np. witryn, które podszywają się pod prawdziwe strony internetowe.
Zadaniem DNSSEC jest właśnie zapobieganie ww. sytuacji i wprowadzenie dodatkowej warstwy ochronnej, tak jak czynią to np. certyfikaty SSL. Tym samym DNSSEC to nie jedyne rozwiązanie, gdyż istnieją też inne rozszerzenia protokołu takie jak DNS przez TCP czy DNS przez HTTPS. Zwiększają prywatność danych. Możesz też spotkać się z pojęciem strefy polityki odpowiedzi, która to z kolei zmienia sposób w jaki rekurencyjne serwery DNS odpowiadają na zapytania.
DNSSEC bez wątpienia wprowadza dodatkową bardzo potrzebną w sieci Internet warstwę ochrony m.in. dla stron internetowych. Tym rozwiązaniem powinni interesować się administratorzy i właściciele stron, docelowo migrując swoje serwisy internetowe tam, gdzie usługodawca oferuje wsparcie dla ochrony DNSSEC. Jeśli jesteś właścicielem lub administratorem serwisu, w ramach którego użytkownicy pozostawiają swoje dane, to DNSSEC może skutecznie uchronić Twoich klientów przed próbami oszustwa i wyłudzenia informacji.
Zagrożenia dla bezpieczeństwa DNS
- DNS spoofing, czyli podszywanie się pod serwer DNS: atakujący może oszukać serwer DNS, mapując fałszywą nazwę hosta lub fałszując wejście NS domeny docelowej do swojego adresu IP,
- DNS zone transfer attack: Transfer strefy DNS to proces, w którym serwer DNS przekazuje kopię swojej strefy (bazy danych) na inny serwer DNS. Kopia strefy DNS może ujawnić wiele informacji topologicznych o Twojej sieci wewnętrznej.
- Uszkodzenie lub zmiana pamięci podręcznej / przechwytywanie danych
- Atak amplifikacji rozproszonej odmowy usługi (DDoS) DNS
- Używanie sfałszowanego adresu źródłowego IP, na który serwer DNS odpowiada ofierze,
- i inne.
DNSSEC zapewnia dodatkowe uwierzytelnianie i integralność danych. Chroni przed zatruciem pamięci podręcznej oraz może chronić dodatkowe informacje za pomocą rekordów TXT. Wprowadzenie DNSSEC ma też przełożenie na problemy związane z atakami DDOS oraz może powodować problemy ze wdrożeniem podziału strefy. DNSSEC nie rozwiązuje problemów prywatności danych z DNS.
Problemy, jakie mogą napotkać użytkownicy DNSSEC, nie są jednak tak duże, jak korzyści które może uzyskać administrator i właściciel strony internetowej. DNSSEC to bez wątpienia skuteczna metoda ochrony przed wyłudzeniem danych.
