Tento článek předpokládá, že jste si prošli Co je DNS a jak funguje? Domain Name System (DNS) je kritickým prvkem internetového systému. Laicky řečeno, Bez DNS není internet. Ale zpočátku byl DNS vyvinut bez velkého zabezpečení. DNS je například zranitelný vůči DNS Cache Poisoning (útoky DNS spoofing); kde útočník může vložit nějaké neplatné záznamy do slabého systému DNS a tato falešná data mohou být použita k přesměrování webového provozu na falešné stránky (Další informace o DNS Cache Poisoning a o tom, jak může ovlivnit internet). Kromě DNS Spoofing je systém DNS také zranitelný vůči útokům DDOS a man in the middle.
Pro vyřešení problémů se zabezpečením DNS bylo představeno rozšíření DNSSEC (Domain Name System Security Extension). DNSSEC nebyl navržen tak, aby ukončil výše uvedené útoky, ale aby zajistil, že budou detekovatelné koncovým uživatelem nebo resolverem (Security enabled resolver). Znamená to, že překladač s vědomím zabezpečení bude schopen ověřit odpověď přijatou ze serveru DNS a určit, zda jsou informace správné nebo ne.
Nasazení DNSSEC není snadná práce, i když implementace ano. Zahrnuje vlastníky zón, jako jsou .net, .com, .edu, .in atd., kteří potřebují implementovat DNSSEC pro své zóny. Tím to nekončí, různé organizace, instituce, poskytovatelé internetových služeb (ISP) potřebují nasadit DNSSEC na svých vlastních serverech DNS. A konečně, konec musí něco udělat; aktualizujte své resolvery, aby rozuměly protokolu DNSSEC, a přidejte některé důvěryhodné klíče. Tyto důvěryhodné klíče se nazývají ukotvené klíče, které by měly být nakonfigurovány v resolveru. Pokud se toto vše provede, koncový uživatel (jako já a vy) bude schopen detekovat útoky.
DNSSEC poskytuje DNS autentizaci původu dat a ochranu integrity dat. Používá kryptografii veřejného klíče, jako je Secure Shell (SSH) a Internet Protocol Security (IPSec).
Technicky DNSSEC…
DNSSEC přidává do stávajícího systému DNS (Domain Name System) kryptografickou povahu, aby byla zajištěna autentičnost a integrita odpovědi DNS. Když jsem řekl kryptografickou povahu, znamená to, že kryptografické podpisy jsou publikovány pro záznamy A v DNS. Například RRSIG (Resource Record Signature) publikovaný pro záznam A, zdrojová organizace umožňuje řešitelům ověřit, že přijatý záznam A je autentický a správný.
Dovolte mi požádat o pomoc od společnosti CISCO , kde byla funkce DNSSEC vysvětlena níže,
„Klientský počítač s vestavěným stub resolverem nastaví u odchozích dotazů bit DNSSEC OK (DO) na 1, když chce použít DNSSEC k ověření pravosti informací DNS. Když server DNS s povolenou DNSSEC přijme dotaz s DO=1, použije lokálně uložené nebo přijaté záznamy RRSIG ke kryptografickému ověření pravosti informací DNS. Výsledek ověření je sdělen stub resolveru pomocí bitu Authenticated Data (AD) v odpovědi DNS; kde AD=1 znamená, že data DNS jsou autentická, a AD=0 znamená, že ověření DNSSEC se nezdařilo “ – Kredity:CISCO
Jaký je rozdíl mezi DNS a DNSSEC?
Jak jsem řekl dříve, DNSSEC je bezpečnostní rozšíření stávajícího DNS. To znamená, že DNS může žít bez DNSSEC (samozřejmě s několika málo zranitelnostmi), ale DNSSEC nemůže existovat bez DNS.
Dalším hlavním rozdílem je velikost záznamů. Velikosti zpráv DNSSEC jsou větší než zprávy DNS (bez aktivovaného DNSSEC). Protože DNSSEC ponese příznaky jako DO, AD a další příznaky záhlaví související s DNSSEC.
Nyní víte, co je DNSSEC a proč je důležité jej povolit na vašem DNS. Podívejme se, jak v příštích několika dnech nasadit DNSSEC ve vašem stávajícím systému DNS.
ČTĚTE:Jak nastavit DNSSEC on Bind?
ČTĚTE:Jak zjistit, zda je doména podepsána DNSSEC nebo ne?