Wat is DNS-beveiliging?
De DNSSEC-beveiligingsuitbreidingen (Domain Name System) zijn een middel om het internet en zijn gebruikers te beschermen tegen mogelijke aanvallen die de toegang tot de essentiële naamgevingsservices op internet kunnen uitschakelen of belemmeren. De beveiligingsuitbreidingen creëren een manier voor de DNS-servers om hun IP-adresadresvertalingsfuncties te blijven bieden, maar met de toegevoegde bepaling dat de DNS-servers met elkaar authenticeren door een reeks vertrouwensrelaties te creëren. Door de uitbreidingen bereikt de gegevens die worden gedeeld tussen de DNS-servers ook een integriteitsniveau dat normaal moeilijk is voor het bestaande protocol waarmee de gegevens worden overgedragen.
Oorspronkelijk werd de DNS gemaakt als een onbeveiligde, openbare distributie van namen en de bijbehorende IP-adressen. Naarmate het internet groeide, ontwikkelden zich echter een aantal problemen met betrekking tot DNS-beveiliging, privacy en de integriteit van de DNS-gegevens. Met betrekking tot privacykwesties werd het probleem al vroeg aangepakt door een juiste configuratie van DNS-servers. Toch is het mogelijk dat een DNS-server wordt onderworpen aan een aantal verschillende soorten aanvallen, zoals gedistribueerde denial of service (DDoS) en bufferoverloopaanvallen, die elk type server kunnen beïnvloeden. Specifiek voor de DNS is echter het probleem dat sommige externe bronnen de gegevens vergiftigen door valse informatie te introduceren.
DNSSEC is ontwikkeld door de Internet engineering task force (IETF) en gedetailleerd in verschillende RFC-documenten (request for comment), 4033 tot 4035. Deze documenten beschrijven DNS-beveiliging als haalbaar door het gebruik van publieke sleutel authenticatietechnieken. Om de verwerking op de DNS-servers te verminderen, worden alleen de authenticatietechnieken gebruikt en geen codering.
De manier waarop DNSSEC werkt is door het creëren van vertrouwensrelaties tussen de verschillende niveaus van de DNS-hiërarchie. Op het hoogste niveau wordt het hoofddomein van de DNS ingesteld als de primaire intermediair tussen de lagere domeinen, zoals .com, .org, enzovoort. Subdomeinen kijken vervolgens naar het hoofddomein, wat fungeert als een vertrouwde derde partij, om de geloofwaardigheid van de anderen te valideren zodat ze nauwkeurige DNS-gegevens met elkaar kunnen delen.
Een probleem dat opduikt als gevolg van de methoden die worden beschreven in de RFC's, wordt zone-opsomming genoemd. Het wordt mogelijk voor een externe bron om de identiteit van elke genoemde computer in een netwerk te leren. Er ontstond enige controverse met DNS-beveiliging en het zone-opsommingsprobleem vanwege het feit dat hoewel de DNS oorspronkelijk niet was ontworpen voor privacy, verschillende wettelijke en overheidsverplichtingen vereisen dat de gegevens privé blijven. Een aanvullend protocol, beschreven in RFC 5155, beschrijft een manier om extra bronrecords in de DNS te implementeren die het probleem kunnen verhelpen, maar niet volledig kunnen verwijderen.
Andere problemen met de implementatie van DNS-beveiliging draaien om compatibiliteit met oudere systemen. De geïmplementeerde protocollen moeten universeel zijn en daarom begrepen worden door alle computers, servers en clients die internet gebruiken. Aangezien DNSSEC wordt geïmplementeerd via software-uitbreidingen op de DNS, ontstond er echter enige moeilijkheid om oudere systemen correct te updaten om de nieuwe methoden te ondersteunen. Toch begon de implementatie van de DNSSEC-methoden eind 2009 en begin 2010 op het rootniveau en veel moderne computerbesturingssystemen zijn uitgerust met de DNS-beveiligingsuitbreidingen.