Co to jest bezpieczeństwo DNS?
Rozszerzenia bezpieczeństwa systemu nazwy domeny (DNS) (DNSSEC) są sposobem ochrony Internetu i jego użytkowników przed możliwymi atakami, które mogą wyłączyć lub utrudniać dostęp do niezbędnych usług nazewnictwa w Internecie. Rozszerzenia bezpieczeństwa tworzą sposób, w jaki serwery DNS będą nadal dostarczać funkcje tłumaczenia protokołu internetowego (IP), ale z dodatkowym przepisem, które serwery DNS uwierzytelniają ze sobą poprzez tworzenie serii relacji zaufania. Poprzez rozszerzenia dane udostępniane między serwerami DNS osiągają również poziom integralności, który zwykle jest trudny do istniejącego protokołu, dzięki którym dane są przesyłane.
Pierwotnie DNS został utworzony jako niezabezpieczony, publiczny dystrybucja nazw i ich powiązane adresy IP. Jednak w miarę wzrostu Internetu opracowane szereg problemów związanych z bezpieczeństwem DNS, prywatnością i integralnością danych DNS. W odniesieniu do problemów z prywatnością problem był wcześnie rozwiązany przez właściwe COnfiguracja serwerów DNS. Mimo to możliwe jest poddanie się szeregu różnych rodzajów ataków, takich jak rozproszone zaprzeczenie usługi (DDOS) i ataków przepełnienia bufora, które mogą wpływać na każdy rodzaj serwera. Specyficzne dla DNS jest jednak kwestią niektórych zewnętrznych zatruć źródło danych poprzez wprowadzenie fałszywych informacji.
DNSSEC został opracowany przez Internet Engineering Task Force (IETF) i szczegółowo opisano w kilku dokumentach żądania komentarza (RFC), od 4033 do 4035 r. Dokumenty te opisują bezpieczeństwo DNS jako osiągalne dzięki zastosowaniu technik uwierzytelniania klucza publicznego. Aby złagodzić przetwarzanie na serwerach DNS, stosowane są tylko techniki uwierzytelniania, a nie szyfrowanie.
Sposób, w jaki działa DNSSEC, odbywa się poprzez tworzenie relacji zaufania między różnymi poziomami hierarchii DNS. Na najwyższym poziomie domeną główną DNS jest ESTABlask jako główny pośrednik między niższymi domenami, takimi jak .com, .org i tak dalej. Następnie podmioty spoglądają na domenę główną, działając jako tak zwana zaufana strona trzecia, aby potwierdzić wiarygodność innych, aby mogli udostępniać sobie dokładne dane DNS.
Jednym z problemów, który pojawia się w wyniku metod opisanych w RFC, nazywa się wyliczeniem stref. Zewnętrzne źródło staje się możliwe, aby poznać tożsamość każdego nazwanego komputera w sieci. Pewne kontrowersje rozwinęły się z problemem bezpieczeństwa DNS i problemem wyliczenia stref ze względu na fakt, że chociaż DNS nie był pierwotnie zaprojektowany pod kątem prywatności, różne obowiązki prawne i rządowe wymagają, aby dane pozostały prywatne. Dodatkowy protokół, opisany w RFC 5155, opisuje środki do wdrożenia dodatkowych rekordów zasobów do DN, które mogą złagodzić problem, choć nie całkowicie go usuwaj.
Inne problemy z wdrażaniem DNS Security obraca się wokół CompatiBility ze starszymi systemami. Zaimplementowane protokoły muszą być uniwersalne, a zatem rozumiane przez wszystkie komputery, serwery i klientów, które korzystają z Internetu. Ponieważ DNSSEC jest zaimplementowany przez rozszerzenia oprogramowania do DNS, pojawiły się pewne trudności w poprawnej aktualizacji starszych systemów w celu obsługi nowych metod. Mimo to wdrożenie metod DNSSEC rozpoczęło się na poziomie głównym na przełomie 2009 i 2010 roku, a wiele nowoczesnych systemów operacyjnych komputerowych jest wyposażonych w rozszerzenia bezpieczeństwa DNS.