Hvad er DNS -sikkerhed?
Domain Name System (DNS) Security Extensions (DNSSEC) er et middel til at beskytte internettet og dets brugere mod mulige angreb, der kan deaktivere eller hindre adgangen til de vigtigste navngivningstjenester på Internettet. Sikkerhedsudvidelserne skaber en måde for DNS -serverne at fortsætte med at levere deres IP -adressefunktioner (Internet Protocol (IP), men med den tilføjede bestemmelse om, at DNS -serverne autentificerer hinanden ved at oprette en række tillidsforhold. Gennem udvidelserne opnår de data, der deles mellem DNS -serverne, også et integritetsniveau, der normalt er vanskeligt over til den eksisterende protokol, hvormed dataene overføres.
Oprindeligt blev DNS oprettet som en usikret, offentlig fordeling af navne og deres relaterede IP -adresser. Efterhånden som internettet voksede, udviklede en række problemer imidlertid en række problemer relateret til DNS -sikkerhed, privatliv og integriteten af DNS -dataene. Med hensyn til privatlivets fred blev problemet tidligt håndteret af ordentlig COnFiguration of DNS -servere. Det er stadig muligt for en DNS -server at blive udsat for en række forskellige typer angreb, såsom distribueret benægtelse af service (DDoS) og bufferoverløb, som kan påvirke enhver type server. Specifikt for DNS er dog spørgsmålet om nogle eksterne kildeforgiftning af dataene ved at introducere falske oplysninger.
DNSSEC blev udviklet af Internet Engineering Task Force (IETF) og detaljeret i flere anmodninger om kommentar (RFC) -dokumenter, 4033 til og med 4035. Disse dokumenter beskriver DNS -sikkerhed som opnåelig ved hjælp af offentlige nøglegodkendelsesteknikker. For at lindre behandlingen på DNS -serverne bruges kun godkendelsesteknikkerne og ikke kryptering.
Den måde, DNSSEC fungerer på, er gennem oprettelse af tillidsforhold mellem de forskellige niveauer af DNS -hierarkiet. På øverste niveau er ROOT -domænet for DNS ESTABlød som den primære formidler mellem de lavere domæner, såsom .com, .org osv. Underdomæner ser derefter på roddomænet, der fungerer som det, der kaldes en betroet tredjepart, for at validere de andre troværdighed, så de kan dele nøjagtige DNS-data med hinanden.
Et problem, der dukker op som et resultat af de metoder, der er beskrevet i RFCS, kaldes zoneoptælling. Det bliver muligt for en ekstern kilde at lære identiteten af enhver navngivet computer på et netværk. Nogle kontroverser udviklet med DNS -sikkerhed og zoneoptællingsproblemet på grund af det faktum, at selvom DNS ikke oprindeligt var designet til privatliv, kræver forskellige juridiske og statslige forpligtelser, at dataene forbliver private. En yderligere protokol, beskrevet i RFC 5155, beskriver et middel til at implementere yderligere ressourceposter i DNS, der kan lindre problemet, men ikke fjerne det helt.
Andre problemer med implementering af DNS -sikkerhed drejer sig om kompatibility med ældre systemer. De implementerede protokoller skal være universelle og derfor forstås af alle computere, servere og klienter, der bruger internettet. Da DNSSEC implementeres ved hjælp af softwareudvidelser til DNS, opstod der imidlertid nogle vanskeligheder med at blive ældre systemer korrekt opdateret for at understøtte de nye metoder. Stadig begyndte implementeringen af DNSSEC -metoderne på rodniveauet i slutningen af 2009 og begyndelsen af 2010, og mange moderne computeroperativsystemer er udstyret med DNS -sikkerhedsudvidelser.