Hva er DNS-sikkerhet?
Domenenavnsystemets sikkerhetsutvidelser (DNSSEC) er et middel for å beskytte Internett og dets brukere mot mulige angrep som kan deaktivere eller hindre tilgang til de viktige navnetjenestene på Internett. Sikkerhetsutvidelsene skaper en måte for DNS-serverne å fortsette å tilby sine IP-adresser-oversettelsesfunksjoner, men med den ekstra bestemmelsen at DNS-serverne autentiserer med hverandre ved å opprette en rekke tillitsforhold. Gjennom utvidelsene oppnår dataene som deles mellom DNS-serverne også et integritetsnivå som normalt er vanskelig overfor den eksisterende protokollen som dataene blir overført til.
Opprinnelig ble DNS opprettet som en usikret, offentlig distribusjon av navn og deres relaterte IP-adresser. Etter hvert som Internett vokste, utviklet det seg imidlertid en rekke problemer relatert til DNS-sikkerhet, personvern og integriteten til DNS-dataene. Med hensyn til personvernproblemer ble problemet tidlig håndtert ved riktig konfigurering av DNS-servere. Fortsatt er det mulig for en DNS-server å bli utsatt for en rekke forskjellige typer angrep, for eksempel distribuert denial of service (DDoS) og bufferoverløpsangrep, noe som kan påvirke alle typer server. Spesielt for DNS er imidlertid spørsmålet om noen utenforstående kilder som forgifter dataene ved å introdusere falsk informasjon.
DNSSEC ble utviklet av Internet engineering taskforce (IETF), og detaljert i flere forespørsler om kommentar (RFC) -dokumenter, 4033 til 4035. Disse dokumentene beskriver DNS-sikkerhet som kan oppnås ved bruk av offentlige nøkkelgodkjenningsteknikker. For å lindre behandlingen på DNS-serverne brukes bare godkjenningsteknikker og ikke kryptering.
Måten DNSSEC fungerer på er gjennom opprettelsen av tillitsforhold mellom de forskjellige lagene i DNS-hierarkiet. På det øverste nivået er rotdomenet til DNS etablert som den primære mellommannen mellom de lavere domenene, for eksempel .com, .org, og så videre. Underdomener ser deretter på rotdomenet, som fungerer som det som kalles en pålitelig tredjepart, for å validere de andre troverdighet slik at de kan dele nøyaktige DNS-data med hverandre.
Et spørsmål som dukker opp som et resultat av metodene beskrevet i RFC-er, kalles soneoppregning. Det blir mulig for en ekstern kilde å lære identiteten til hver navngitte datamaskin i et nettverk. Noe kontrovers utviklet seg med DNS-sikkerhet og soneoppregningsproblemet på grunn av det faktum at selv om DNS opprinnelig ikke var designet for personvern, krever forskjellige juridiske og offentlige forpliktelser at dataene forblir private. En tilleggsprotokoll, beskrevet i RFC 5155, beskriver et middel til å implementere ytterligere ressursregistreringer i DNS som kan lindre problemet, men ikke fjerne det helt.
Andre problemer med implementering av DNS-sikkerhet dreier seg om kompatibilitet med eldre systemer. De implementerte protokollene må være universelle og forstås derfor av alle datamaskiner, servere og klienter som bruker Internett. Siden DNSSEC implementeres ved hjelp av programvareutvidelser til DNS, dukket det imidlertid opp noen vanskeligheter med å få eldre systemer riktig oppdatert for å støtte de nye metodene. Fremdeles begynte distribusjonen av DNSSEC-metodene på rotnivå i slutten av 2009 og begynnelsen av 2010, og mange moderne datamaskinoperativsystemer er utstyrt med DNS-sikkerhetsutvidelsene.