Che cos'è la sicurezza DNS?
Le estensioni di sicurezza DNS (Domain Name System) (DNSSEC) sono un mezzo per proteggere Internet e i suoi utenti da possibili attacchi che potrebbero disabilitare o ostacolare l'accesso ai servizi essenziali di denominazione su Internet. Le estensioni di sicurezza creano un modo per i server DNS di continuare a fornire le loro funzioni di traduzione degli indirizzi IP (Internet Protocol), ma con l'ulteriore disposizione che i server DNS si autenticano tra loro creando una serie di relazioni di fiducia. Attraverso le estensioni, i dati condivisi tra i server DNS raggiungono anche un livello di integrità che è normalmente difficile rispetto al protocollo esistente con il quale i dati vengono trasferiti.
Inizialmente, il DNS veniva creato come distribuzione pubblica non protetta di nomi e relativi indirizzi IP. Con la crescita di Internet, tuttavia, si sono sviluppati numerosi problemi relativi alla sicurezza DNS, alla privacy e all'integrità dei dati DNS. Per quanto riguarda i problemi di privacy, il problema è stato gestito tempestivamente mediante una corretta configurazione dei server DNS. Tuttavia, è possibile che un server DNS sia soggetto a una serie di diversi tipi di attacchi, come attacchi denial of service distribuiti (DDoS) e buffer overflow, che possono influire su qualsiasi tipo di server. Specifico per il DNS, tuttavia, è il problema di alcune fonti esterne che avvelenano i dati introducendo informazioni false.
DNSSEC è stato sviluppato dalla IETF (Internet engineering Task Force) e dettagliato in numerosi documenti di richiesta di commento (RFC), da 4033 a 4035. Questi documenti descrivono la sicurezza DNS come realizzabile mediante l'uso di tecniche di autenticazione con chiave pubblica. Per alleviare l'elaborazione sui server DNS, vengono utilizzate solo le tecniche di autenticazione e non la crittografia.
Il modo in cui DNSSEC funziona è attraverso la creazione di relazioni di fiducia tra i diversi livelli della gerarchia DNS. Al livello superiore, il dominio principale del DNS viene stabilito come intermediario primario tra i domini inferiori, come .com, .org e così via. I sottodomini guardano quindi al dominio principale, fungendo da ciò che viene chiamato una terza parte attendibile, per convalidare la credibilità degli altri in modo che possano condividere dati DNS accurati tra loro.
Un problema che si presenta come risultato dei metodi descritti negli RFC è chiamato enumerazione delle zone. Diventa possibile per una fonte esterna apprendere l'identità di ogni computer nominato su una rete. Alcune controversie si sono sviluppate con la sicurezza DNS e il problema di enumerazione delle zone a causa del fatto che, sebbene il DNS non fosse originariamente progettato per la privacy, vari obblighi legali e governativi richiedono che i dati rimangano privati. Un protocollo aggiuntivo, descritto in RFC 5155, descrive un mezzo per implementare ulteriori record di risorse nel DNS che può alleviare il problema, sebbene non rimuoverlo del tutto.
Altri problemi relativi all'implementazione della sicurezza DNS riguardano la compatibilità con i sistemi più vecchi. I protocolli implementati devono essere universali e, quindi, compresi da tutti i computer, server e client che utilizzano Internet. Poiché DNSSEC è implementato tramite estensioni software al DNS, tuttavia, sono emerse alcune difficoltà nell'ottenere i sistemi più vecchi aggiornati correttamente al fine di supportare i nuovi metodi. Tuttavia, l'implementazione dei metodi DNSSEC è iniziata a livello di radice tra la fine del 2009 e l'inizio del 2010 e molti moderni sistemi operativi per computer sono dotati delle estensioni di sicurezza DNS.