Hvad er DNS-sikkerhed?
DNS-udvidelser (Domain Name System) (DNSSEC) er et middel til at beskytte Internettet og dets brugere mod mulige angreb, der kan deaktivere eller hindre adgang til de væsentlige navngivningstjenester på Internettet. Sikkerhedsudvidelserne skaber en måde for DNS-serverne at fortsætte med at levere deres Internet-protokol (IP) -adresse-oversættelsesfunktioner, men med den tilføjede bestemmelse, at DNS-serverne autentificerer med hinanden ved at oprette en række tillidsforhold. Gennem udvidelserne opnår de data, der deles mellem DNS-serverne, også et niveau af integritet, der normalt er vanskeligt over til den eksisterende protokol, som dataene overføres til.
Oprindeligt blev DNS oprettet som en usikret, offentlig distribution af navne og deres relaterede IP-adresser. Efterhånden som Internettet voksede, udviklede der sig imidlertid en række problemer relateret til DNS-sikkerhed, privatlivets fred og integriteten af DNS-dataene. Med hensyn til beskyttelse af personlige oplysninger blev problemet tidligt behandlet ved korrekt konfiguration af DNS-servere. Det er stadig muligt for en DNS-server at blive udsat for et antal forskellige typer angreb, såsom distribueret denial of service (DDoS) og bufferoverløb, som kan påvirke enhver servertype. Men specifikt for DNS er spørgsmålet om, at en ekstern kilde, som forgifer dataene, ved at indføre falske oplysninger.
DNSSEC blev udviklet af Internet Engineering taskforce (IETF) og detaljeret i adskillige anmodninger om kommentar (RFC) -dokumenter, 4033 til 4035. Disse dokumenter beskriver DNS-sikkerhed som opnåelig ved brug af godkendelsesteknikker til offentlig nøgle. For at lette behandlingen på DNS-serverne bruges kun godkendelsesteknikker og ikke kryptering.
Den måde DNSSEC fungerer på er gennem oprettelsen af tillidsforhold mellem de forskellige niveauer i DNS-hierarkiet. På det øverste niveau etableres DNS-roddomænet som den primære mellemmand mellem de lavere domæner, såsom .com, .org, og så videre. Underdomæner kigger derefter på roddomænet, der fungerer som det, der kaldes en betroet tredjepart, for at validere de andres troværdighed, så de kan dele nøjagtige DNS-data med hinanden.
Et spørgsmål, der dukker op som et resultat af de metoder, der er beskrevet i RFC'erne, kaldes zoneopregning. Det bliver muligt for en ekstern kilde at lære identiteten af alle navngivne computere på et netværk. Nogle kontroverser blev udviklet med DNS-sikkerhed og zonetællingsproblemet på grund af det faktum, at selvom DNS oprindeligt ikke var designet til privatliv, kræver forskellige juridiske og offentlige forpligtelser, at dataene forbliver private. En yderligere protokol, der er beskrevet i RFC 5155, beskriver et middel til at implementere yderligere ressourceposter i DNS, der kan afhjælpe problemet, men ikke fjerne det helt.
Andre problemer med implementering af DNS-sikkerhed drejer sig om kompatibilitet med ældre systemer. De implementerede protokoller skal være universelle og forstås derfor af både computere, servere og klienter, der bruger internettet. Da DNSSEC implementeres ved hjælp af softwareudvidelser til DNS, opstod der dog en vis vanskelighed med at få ældre systemer korrekt opdateret for at understøtte de nye metoder. Stadig begyndte installationen af DNSSEC-metoderne på rodniveau i slutningen af 2009 og begyndelsen af 2010, og mange moderne computer-operativsystemer er udstyret med DNS-sikkerhedsudvidelser.