Co je zabezpečení DNS?
Rozšíření zabezpečení systému názvů domén (DNS) (DNSSEC) jsou prostředky k ochraně internetu a jeho uživatelů před možnými útoky, které mohou znemožnit nebo znemožnit přístup k základním pojmenovacím službám na internetu. Rozšíření zabezpečení vytvářejí způsob, jakým servery DNS mohou nadále poskytovat své funkce pro překlad adres internetového protokolu (IP), ale s dodatečným ustanovením, že servery DNS se navzájem autentizují vytvořením řady vztahů důvěryhodnosti. Prostřednictvím rozšíření data sdílená mezi servery DNS také dosahuje úrovně integrity, která je obvykle obtížná oproti stávajícímu protokolu, kterým jsou data přenášena.
Původně byl DNS vytvořen jako nezabezpečená veřejná distribuce jmen a jejich souvisejících IP adres. S rostoucím internetem se však objevilo mnoho problémů týkajících se zabezpečení DNS, soukromí a integrity dat DNS. Pokud jde o problémy s ochranou soukromí, problém byl vyřešen na začátku správnou konfigurací serverů DNS. Přesto je možné, aby byl server DNS vystaven řadě různých typů útoků, jako jsou útoky s distribuovaným odmítnutím služby (DDoS) a přetečení vyrovnávací paměti, které mohou ovlivnit jakýkoli typ serveru. Specifické pro DNS je však otázka, že některý vnější zdroj otráví data zavedením falešných informací.
DNSSEC byla vyvinuta pracovní skupinou pro internetové inženýrství (IETF) a podrobně popsána v několika žádostech o připomínky (RFC), 4033 až 4035. Tyto dokumenty popisují zabezpečení DNS jako dosažitelné pomocí technik autentizace pomocí veřejného klíče. Ke zmírnění zpracování na serverech DNS se používají pouze techniky ověřování, nikoli šifrování.
Způsob, jakým DNSSEC funguje, je vytvořením vztahů důvěryhodnosti mezi různými vrstvami hierarchie DNS. Na nejvyšší úrovni je kořenová doména DNS zřízena jako primární prostředník mezi nižšími doménami, jako je .com, .org atd. Subdomény se pak dívají na kořenovou doménu, která se chová jako důvěryhodná třetí strana, aby ověřila důvěryhodnost ostatních, aby mohly mezi sebou sdílet přesná data DNS.
Jeden problém, který se objeví v důsledku metod popsaných v RFC, se nazývá výčet zón. Externí zdroj se může naučit identitu každého pojmenovaného počítače v síti. V souvislosti se zabezpečením DNS a problémem s vyčíslením zón se objevila určitá diskuse kvůli skutečnosti, že i když DNS nebyl původně navržen pro soukromí, různé právní a vládní závazky vyžadují, aby data zůstala soukromá. Další protokol popsaný v dokumentu RFC 5155 popisuje prostředky k implementaci dalších záznamů o prostředcích do DNS, které mohou problém zmírnit, i když jej zcela neodstraní.
Další problémy s implementací zabezpečení DNS se týkají kompatibility se staršími systémy. Implementované protokoly musí být univerzální, a proto musí být pochopeny všemi počítači, servery i klienty, kteří používají internet. Vzhledem k tomu, že DNSSEC je implementován prostřednictvím softwarových rozšíření k DNS, objevily se však potíže s řádnou aktualizací starších systémů za účelem podpory nových metod. Zavádění metod DNSSEC přesto začalo na kořenové úrovni koncem roku 2009 a začátkem roku 2010 a mnoho moderních počítačových operačních systémů je vybaveno rozšířeními zabezpečení DNS.