Cos'è la sicurezza DNS?
Le estensioni di sicurezza (DNSSEC) di Domain Name System (DNS) sono un mezzo per proteggere Internet e i suoi utenti da possibili attacchi che possono disabilitare o ostacolare l'accesso ai servizi di denominazione essenziali su Internet. Le estensioni di sicurezza creano un modo per i server DNS di continuare a fornire le funzioni di traduzione dell'indirizzo del protocollo Internet (IP), ma con la disposizione aggiunta che i server DNS si autengono tra loro creando una serie di relazioni di fiducia. Attraverso le estensioni, i dati condivisi tra i server DNS raggiungono anche un livello di integrità che è normalmente difficile per il protocollo esistente con il quale vengono trasferiti i dati.
originariamente, il DNS è stato creato come una distribuzione pubblica non protetta dei nomi e dei loro indirizzi IP correlati. Man mano che Internet cresceva, tuttavia, una serie di problemi sviluppati relativi alla sicurezza DNS, alla privacy e all'integrità dei dati DNS. Per quanto riguarda i problemi di privacy, il problema è stato gestito all'inizio di C correttaonfigurazione dei server DNS. Tuttavia, è possibile che un server DNS sia sottoposto a una serie di diversi tipi di attacchi, come gli attacchi distribuiti di negazione del servizio (DDOS) e overflow del buffer, che possono influire su qualsiasi tipo di server. Specifico per il DNS, tuttavia, è il problema di alcune fonti esterne avvelenando i dati introducendo informazioni false.
DNSSEC è stato sviluppato dalla Task Force di Internet Engineering (IETF) e dettagliato in diversi documenti di richiesta di commento (RFC), da 4033 a 4035. Questi documenti descrivono la sicurezza DNS come realizzabile attraverso l'uso delle tecniche di autenticazione chiave pubblica. Per alleviare l'elaborazione sui server DNS, vengono utilizzate solo le tecniche di autenticazione e non la crittografia.
Il modo in cui funziona DNSSEC è attraverso la creazione di relazioni di fiducia tra i diversi livelli della gerarchia DNS. Al livello superiore, il dominio principale del DNS è ESTABledito come intermediario primario tra i domini inferiori, come .com, .org e così via. I sotto-domini guardano quindi al dominio principale, agendo come quella che viene chiamata terza parte di fiducia, per convalidare la credibilità degli altri in modo che possano condividere dati DNS accurati tra loro.
Un problema che si presenta a seguito dei metodi descritti negli RFC è chiamato enumerazione della zona. Diventa possibile per una fonte esterna apprendere l'identità di ogni computer denominato su una rete. Alcune controversie si sono sviluppate con la sicurezza del DNS e il problema di enumerazione della zona a causa del fatto che anche se il DNS non era originariamente progettato per la privacy, vari obblighi legali e governativi richiedono che i dati rimangano privati. Un protocollo aggiuntivo, descritto in RFC 5155, descrive un mezzo per implementare ulteriori record di risorse nei DNS che possono alleviare il problema, sebbene non rimuovilo del tutto.
Altri problemi con l'implementazione della sicurezza DNS ruotano attorno a CompatiBility con sistemi più vecchi. I protocolli implementati devono essere universali e, quindi, compresi da tutti i computer, server e clienti, che utilizzano Internet. Poiché DNSSEC è implementato mediante estensioni del software al DNS, tuttavia, sono emerse alcune difficoltà nel ottenere sistemi più vecchi adeguatamente aggiornati per supportare i nuovi metodi. Tuttavia, la distribuzione dei metodi DNSSEC è iniziata a livello radicale alla fine del 2009 e all'inizio del 2010 e molti moderni sistemi operativi per computer sono dotati delle estensioni di sicurezza DNS.