Vad är DNS -säkerhet?
Domain Name System (DNS) Security Extensions (DNSSEC) är ett sätt att skydda Internet och dess användare från möjliga attacker som kan inaktivera eller hindra åtkomst till de väsentliga namntjänsterna på Internet. Säkerhetsförlängningarna skapar ett sätt för DNS -servrarna att fortsätta att tillhandahålla sitt internetprotokoll (IP) adressöversättningsfunktioner, men med den extra bestämmelsen som DNS -servrarna autentiserar med varandra genom att skapa en serie förtroendeförhållanden. Genom tilläggen uppnår data som delas mellan DNS -servrarna också en nivå av integritet som normalt är svår över till det befintliga protokollet genom vilka data överförs.
Ursprungligen skapades DNS som en osäker, offentlig distribution av namn och deras relaterade IP -adresser. När internet växte utvecklades emellertid ett antal problem relaterade till DNS -säkerhet, integritet och integriteten i DNS -data. När det gäller integritetsfrågor hanterades problemet tidigt av korrekt COnfiguration av DNS -servrar. Ändå är det möjligt för en DNS -server att utsättas för ett antal olika typer av attacker, såsom distribuerad förnekande av service (DDOS) och buffertattacker, vilket kan påverka alla typer av server. Specifikt för DNS är emellertid frågan om att vissa externa källor som förgiftar uppgifterna genom att införa falsk information.
DNSSEC utvecklades av Internet Engineering Task Force (IETF) och beskrivs i flera begäran om kommentarer (RFC), 4033 till 4035. Dessa dokument beskriver DNS -säkerhet som kan uppnås genom användning av offentlig nyckelautentiseringstekniker. För att lindra behandlingen på DNS -servrarna används endast autentiseringsteknikerna och inte kryptering.
hur DNSSEC fungerar är genom skapandet av förtroendeförhållanden mellan de olika nivåerna i DNS -hierarkin. På toppnivå är DNS rotdomänbländade som den primära mellanhanden mellan de lägre domänerna, såsom .com, .org, och så vidare. Underdomäner tittar sedan på rotdomänen, fungerar som det som kallas en pålitlig tredje part, för att validera de andra trovärdigheten så att de kan dela exakta DNS-data med varandra.
En fråga som dyker upp till följd av de metoder som beskrivs i RFC: erna kallas zonuppräkning. Det blir möjligt för en extern källa att lära sig identiteten för varje namngiven dator i ett nätverk. Vissa kontroverser utvecklades med DNS -säkerhet och uppräkningsproblemet på grund av att även om DNS ursprungligen inte ursprungligen utformades för integritet, kräver olika juridiska och statliga skyldigheter att uppgifterna förblir privata. Ett ytterligare protokoll, som beskrivs i RFC 5155, beskriver ett sätt att implementera ytterligare resursposter i DNS som kan lindra problemet, men inte ta bort det helt.
Andra problem med att implementera DNS -säkerheten kretsar kring kompatibility med äldre system. De implementerade protokollen måste vara universella och därför förstås av alla datorer, servrar och klienter, som använder internet. Eftersom DNSSEC implementeras genom programvaruförlängningar till DNS, uppstod dock vissa svårigheter att få äldre system korrekt uppdaterade för att stödja de nya metoderna. Fortfarande började utplaceringen av DNSSEC -metoderna på rotnivån i slutet av 2009 och början av 2010, och många moderna datoroperativsystem är utrustade med DNS -säkerhetsförlängningarna.