Co je to zabezpečení DNS?
Zabezpečení doménových názvů (DNS) (DNSSEC) jsou prostředkem k ochraně internetu a jeho uživatelů před možnými útoky, které mohou deaktivovat nebo bránit přístup k esenciálním pojmenovacím službám na internetu. Rozšíření zabezpečení vytvářejí způsob, jak servery DNS nadále poskytují funkce překladu adresy internetového protokolu (IP), ale s přidaným ustanovením, že servery DNS se vzájemně autentizují vytvořením řady důvěryhodnosti. Prostřednictvím rozšíření dosahují data sdílená mezi servery DNS také úroveň integrity, která je obvykle obtížná na existujícím protokolu, kterým jsou data přenášena. Jak internet rostl, řada vyvinutých problémů souvisejících s zabezpečením DNS, soukromí a integritou dat DNS. S ohledem na problémy s ochranou osobních údajů byl problém řešen brzy v řádném cOnfigurace serverů DNS. Přesto je možné, že server DNS bude vystaven řadě různých typů útoků, jako jsou distribuované popření služby (DDOS) a útoky přetečení vyrovnávací paměti, které mohou ovlivnit jakýkoli typ serveru. Specifický pro DNS je však problém některých vnějších zdrojů otrava dat zavedením nepravdivých informací.
DNSSEC byl vyvinut společností Task Force Internet Engineering Task Force (IETF) a podrobně popsán v několika dokumentech žádosti o komentář (RFC), 4033 až 4035. Tyto dokumenty popisují zabezpečení DNS jako dosažitelné pomocí technik ověřování veřejných klíčů. Pro zmírnění zpracování na serverech DNS se používají pouze techniky ověřování a nikoli šifrování.
Způsob, jakým dnssec funguje, je vytvoření důvěryhodnosti mezi různými úrovními hierarchie DNS. Na nejvyšší úrovni je kořenovou doménou DNS Estazamířeno jako primární zprostředkovatel mezi dolními doménami, jako je .com, .org atd. Subdomény se poté podívají na kořenovou doménu a působí jako to, co se nazývá důvěryhodná třetí strana, aby ověřovala důvěryhodnost ostatních, aby mohli vzájemně sdílet přesná data DNS.
Jeden problém, který se objeví v důsledku metod popsaných v RFCS, se nazývá zóna výčtu. Je možné, aby se vnější zdroj naučil identitu každého pojmenovaného počítače v síti. Některá diskuse se vyvinula s bezpečnosti DNS a problémem výčtu zóny z důvodu skutečnosti, že i když DNS nebyla původně navržena pro soukromí, různé právní a vládní povinnosti vyžadují, aby údaje zůstaly soukromé. Další protokol popsaný v RFC 5155 popisuje prostředky k implementaci dalších záznamů o zdrojích do DNS, které mohou problém zmírnit, i když jej zcela neodstraní.
Další problémy s implementací zabezpečení DNS se točí kolem compatibilituy se staršími systémy. Implementované protokoly musí být univerzální, a proto jsou pochopitelné všemi počítači, servery i klienty, které používají internet. Vzhledem k tomu, že DNSSEC je implementován prostřednictvím prodloužení softwaru na DNS, však se objevily některé obtíže při správném aktualizaci starších systémů za účelem podpory nových metod. Přesto nasazení metod DNSSEC začalo na kořenové úrovni na konci roku 2009 a začátkem roku 2010 a mnoho moderních počítačových operačních systémů je vybaveno prodloužením zabezpečení DNS.