Co to jest bezpieczeństwo DNS?
Rozszerzenia bezpieczeństwa systemu nazw domen (DNS) (DNSSEC) są sposobem ochrony Internetu i jego użytkowników przed możliwymi atakami, które mogą uniemożliwić lub utrudnić dostęp do podstawowych usług nazewnictwa w Internecie. Rozszerzenia bezpieczeństwa umożliwiają serwerom DNS dalsze zapewnianie funkcji translacji adresów IP, ale z dodatkowym zastrzeżeniem, że serwery DNS uwierzytelniają się między sobą, tworząc szereg relacji zaufania. Dzięki rozszerzeniom dane współdzielone między serwerami DNS osiągają również poziom integralności, który zwykle jest trudny w porównaniu z istniejącym protokołem, przez który dane są przesyłane.
Pierwotnie DNS został utworzony jako niezabezpieczona, publiczna dystrybucja nazw i powiązanych z nimi adresów IP. W miarę rozwoju Internetu pojawiło się jednak wiele problemów związanych z bezpieczeństwem DNS, prywatnością i integralnością danych DNS. Jeśli chodzi o kwestie związane z prywatnością, problem został rozwiązany wcześnie dzięki odpowiedniej konfiguracji serwerów DNS. Mimo to serwer DNS może zostać poddany wielu różnym rodzajom ataków, takich jak rozproszona odmowa usługi (DDoS) i ataki przepełnienia bufora, które mogą mieć wpływ na dowolny typ serwera. Jednak specyficzny dla DNS jest problem, że niektóre źródła zewnętrzne zatruwają dane przez wprowadzenie fałszywych informacji.
DNSSEC został opracowany przez grupę roboczą ds. Inżynierii internetowej (IETF) i szczegółowo opisany w kilku dokumentach z prośbą o komentarz (RFC), od 4033 do 4035. Dokumenty te opisują bezpieczeństwo DNS jako osiągalne dzięki zastosowaniu technik uwierzytelniania za pomocą klucza publicznego. Aby złagodzić przetwarzanie na serwerach DNS, stosowane są tylko techniki uwierzytelniania, a nie szyfrowanie.
Sposób działania DNSSEC polega na tworzeniu relacji zaufania między różnymi poziomami hierarchii DNS. Na najwyższym poziomie domena główna DNS jest ustanowiona jako główny pośrednik między domenami niższymi, takimi jak .com, .org i tak dalej. Subdomeny następnie patrzą na domenę główną, działającą jako tak zwana zaufana strona trzecia, aby zweryfikować wiarygodność innych, aby mogły one dzielić między sobą dokładne dane DNS.
Jeden problem, który pojawia się w wyniku metod opisanych w RFC, nazywa się wyliczaniem stref. Zewnętrzne źródło może poznać tożsamość każdego nazwanego komputera w sieci. Pojawiły się pewne kontrowersje związane z bezpieczeństwem DNS i problemem z wyliczeniem strefy, ponieważ chociaż DNS nie był pierwotnie zaprojektowany do prywatności, różne obowiązki prawne i rządowe wymagają, aby dane pozostały prywatne. Dodatkowy protokół, opisany w RFC 5155, opisuje sposoby implementacji dodatkowych rekordów zasobów w DNS, które mogą złagodzić problem, ale nie całkowicie go usunąć.
Inne problemy związane z wdrażaniem zabezpieczeń DNS dotyczą zgodności ze starszymi systemami. Wdrożone protokoły muszą być uniwersalne, a zatem zrozumiałe dla wszystkich komputerów, serwerów i klientów korzystających z Internetu. Ponieważ DNSSEC jest wdrażany za pomocą rozszerzeń oprogramowania do DNS, pojawiły się pewne trudności z prawidłową aktualizacją starszych systemów w celu obsługi nowych metod. Jednak wdrażanie metod DNSSEC rozpoczęło się na poziomie root na przełomie 2009 i 2010 roku, a wiele nowoczesnych komputerowych systemów operacyjnych jest wyposażonych w rozszerzenia bezpieczeństwa DNS.