DNSSEC (ang. DNS Security Extensions) jest zestawem rozszerzeń do protokołu DNS (ang. Domain Name System), który poprawia jego bezpieczeństwo. Wprowadza on podpisy kryptograficzne, które są dodawane do już istniejących domen. Protokół opiera się na podpisach cyfrowych (tworzonych za pomocą algorytmów MD5 i RSA lub SHA-1 i DSA), kluczach publicznych (kryptografii asymetrycznej) oraz certyfikatach. Za ich pomocą zapewnia uwierzytelnianie źródeł danych, którymi są serwery DNS. Zapewnia wiarygodność, autentyczność i integralność odpowiedzi (czy odpowiedź nie została zmodyfikowana i pochodzi z odpowiedniego źródła), sprawdzanie danych oraz ogólne bezpieczeństwo systemu. Protokół DNSSEC wprowadza do systemu DNS takie rekordy jak NSEC, RRSIG czy DS.
Lokalne serwery wyposażone w DNSSEC chronią zabezpieczone domeny między innymi przed phishingiem, czyli wykradaniem danych ze sfałszowanych stron internetowych (np. stron bankowych). Rozszerzenia zabezpieczeń systemu nazw domen chronią również przed „zatruwaniem” pamięci podręcznej. Takie zabezpieczenia minimalizują również ryzyko podszywania się pod serwer DNS.
Jak działa protokół?
Przeglądarka wysyła zapytanie do serwera DNS. Serwer odpowiada na nie, wysyłając dodatkowo klucz uwierzytelniający potwierdzający poprawność adresu IP. Dzięki temu możemy być pewni, że przeglądarka wyświetla poprawną stronę i uniemożliwia potencjalnym atakującym na zmianę tabeli na serwerze DNS poprzez odrzucanie jego zapytań. Stosowanie protokołu DNSSEC nie wpływa na prędkość ładowania stron czy działania serwerów.
Dla jakich domen jest dostępne DNSSEC?
DNSSEC dostępne jest dla domen:
- globalnych (np. .com)
- narodowych (np. .pl)
- funkcjonalnych (np. .com.pl)
- regionalnych (np. waw.pl)
- europejskich (.eu).
DNS a DNSSEC
System nazw domenowych pozwala na szybkie połączenie użytkownika z pewnym zasobem. Jednak korzystanie z samego DNS wiąże się z pewnymi zagrożeniami. Za pomocą DNS można korzystać z wielu usług, co generuje jeszcze większą liczbę zagrożeń, takich jak:
- ataki DDoS
- przechwytywanie danych
- uszkodzenie pamięci podręcznej
- modyfikacja pamięci podręcznej
- fałszowanie adresu IP
- podszywanie się pod serwer DNS
- ataki na transfer strefy (bazy danych) DNS na inny serwer DNS.
Dane przesyłane za pomocą DNS nie są ani tajne ani odpowiednio zabezpieczone. Naraża to informacje na niechciane modyfikacje, błędne ich przesyłanie oraz skasowanie. Gdy zauważono stopień narażenia danych przesyłanych za pomocą DNS, stworzono mechanizm, który posiada stosowne zabezpieczenia i umożliwia weryfikację informacji. Tym mechanizmem jest właśnie DNSSEC.
Krótko mówiąc, DNSSEC poprawia bezpieczeństwo korzystania z DNS. Nie jest to jednak jedyne rozwiązanie zwiększające jego bezpieczeństwo. Wyróżnia się również takie rozszerzenia protokołu DNS jak DNS przez TVP czy DNS przez HTTPS. Warto posiadać jednak wdrożony mechanizm DNSSEC, w szczególności, gdy jesteśmy administratorami lub właścicielami stron, na których użytkownicy pozostawiają pewne dane, w szczególności wrażliwe.
