DNSSEC, czyli ochrona protokołu DNS

DNSSEC (Domain Name System Security Extensions) to rozszerzenie protokołu DNS wzmacniające jego bezpieczeństwo. DNSSEC tworzy bezpieczny system nazw domen, wprowadzając podpisy kryptograficzne. Dodawane są one do już istniejących rekordów DNS. DNSSEC opiera się na kryptografii klucza publicznego, certyfikatach i podpisach cyfrowych.

DNSSEC
Źródło google

DNSSEC, czyli ochrona protokołu DNS

Tłumacz to na prosty nietechniczny język: system, który odpowiada za to, że po wpisaniu adresu domeny wyświetlana jest określona strona internetowa to system DNS. Nie jest to jednak system w pełni bezpieczny, a przynajmniej nie na tyle, aby mówić o 100% pewności, że to, co widzimy, jest tym, co powinniśmy zobaczyć. Zasadniczą wadą protokołu (DNS) jest fakt, że każdy, kto będzie chciał uczynić coś złego, może skonfigurować serwer nazw domen, a następnie podsłuchiwać serwer DNS, wprowadzając własne odpowiedzi. Jak to rozumieć? Może fałszować odpowiedzi DNS, a finalnie dostarczając użytkownikom, np. witryn, które podszywają się pod prawdziwe strony internetowe.

Zadaniem DNSSEC jest właśnie zapobieganie ww. sytuacji i wprowadzenie dodatkowej warstwy ochronnej, tak jak czynią to np. certyfikaty SSL. Tym samym DNSSEC to nie jedyne rozwiązanie, gdyż istnieją też inne rozszerzenia protokołu takie jak DNS przez TCP czy DNS przez HTTPS. Zwiększają prywatność danych. Możesz też spotkać się z pojęciem strefy polityki odpowiedzi, która to z kolei zmienia sposób w jaki rekurencyjne serwery DNS odpowiadają na zapytania.

DNSSEC bez wątpienia wprowadza dodatkową bardzo potrzebną w sieci Internet warstwę ochrony m.in. dla stron internetowych. Tym rozwiązaniem powinni interesować się administratorzy i właściciele stron, docelowo migrując swoje serwisy internetowe tam, gdzie usługodawca oferuje wsparcie dla ochrony DNSSEC. Jeśli jesteś właścicielem lub administratorem serwisu, w ramach którego użytkownicy pozostawiają swoje dane, to DNSSEC może skutecznie uchronić Twoich klientów przed próbami oszustwa i wyłudzenia informacji.

Zagrożenia dla bezpieczeństwa DNS

  • DNS spoofing, czyli podszywanie się pod serwer DNS: atakujący może oszukać serwer DNS, mapując fałszywą nazwę hosta lub fałszując wejście NS domeny docelowej do swojego adresu IP,
  • DNS zone transfer attack: Transfer strefy DNS to proces, w którym serwer DNS przekazuje kopię swojej strefy (bazy danych) na inny serwer DNS. Kopia strefy DNS może ujawnić wiele informacji topologicznych o Twojej sieci wewnętrznej.
  • Uszkodzenie lub zmiana pamięci podręcznej / przechwytywanie danych
  • Atak amplifikacji rozproszonej odmowy usługi (DDoS) DNS
  • Używanie sfałszowanego adresu źródłowego IP, na który serwer DNS odpowiada ofierze,
  • i inne.

DNSSEC zapewnia dodatkowe uwierzytelnianie i integralność danych. Chroni przed zatruciem pamięci podręcznej oraz może chronić dodatkowe informacje za pomocą rekordów TXT. Wprowadzenie DNSSEC ma też przełożenie na problemy związane z atakami DDOS oraz może powodować problemy ze wdrożeniem podziału strefy. DNSSEC nie rozwiązuje problemów prywatności danych z DNS.

Problemy, jakie mogą napotkać użytkownicy DNSSEC, nie są jednak tak duże, jak korzyści które może uzyskać administrator i właściciel strony internetowej. DNSSEC to bez wątpienia skuteczna metoda ochrony przed wyłudzeniem danych.

Czy DNSSEC ma jakieś wady?

Niestety, ale DNSSEC posiada wady, jak każdy mechanizm. Możemy wymienić dwie główne:

  • Pierwsza to pewna trudność zrozumienia, jak działa i jakie korzyści przynosi.
  • Druga, bardziej wymierna, to zwiększenie objętości danych, które są przesyłane w DNS. Zwiększa to nieznacznie ruch sieciowy.

Podsumowanie

DNSSEC stanowi skuteczną ochronę przed atakami na DNS. Jego celem jest obrona przed technikami wykorzystywanymi przez cyberprzestępców, które polegają na kierowaniu ruchu na nieuczciwe witryny i serwery.  DNSSEC uwierzytelnia, że ​​rekordy DNS pochodzą od autoryzowanego nadawcy (serwera DNS) przy użyciu kryptografii.

Zrozumienie zasady działania DNSSEC nie należy do najprostszych, ale za to jego wdrożenie wpłynie na wiarygodność wyświetlanej strony internetowej.

DNS jest obecnie najczęściej wykorzystywanym mechanizmem przez inne protokoły/usługi Internetu (np. usługa stron internetowych www i protokół HTTP). Dotychczas zwracano głównie uwagę na bezpieczeństwo samych usług, tj. zabezpieczanie dostępu do serwisów bankowych, szyfrowanie poczty elektronicznej, pomijając zabezpieczenie samych nazw domen internetowych, będących podstawą działania tych usług. Powoduje to narażenie użytkowników Internetu na nieświadome ujawnienie istotnych danych (np. tożsamości czy haseł), na fałszywych (“podmienionych”) stronach internetowych, utworzonych na prawdziwych domenach, a przez to na utratę kontroli, np. nad kontem bankowym, pocztą elektroniczną czy profilem w serwisie społecznościowym. Dostrzegając te słabości protokołu DNS, wprowadzono do niego mechanizm pozwalający na weryfikację autentyczności otrzymywanych odpowiedzi, tj. DNSSEC.

Dodaj komentarz