Extensiile de securitate ale sistemului pentru nume de domeniu (DNSSEC) sunt un set de protocoale care adaugă un strat de securitate proceselor de căutare și de schimbare a sistemului pentru nume de domenii (DNS), care au devenit integrate în accesarea site-urilor prin Internet. Deși DNSSEC nu poate proteja modul în care sunt distribuite datele sau cine le poate accesa, extensiile pot autentifica originea datelor trimise de la un server DNS, verifică integritatea datelor și autentifică datele DNS inexistente.
Ce este DNS?
Înțelegerea termenului DNSSEC necesită mai întâi niște cunoștințe de bază pentru modul în care funcționează adresele site-uri web. Adresele de protocol Internet (IP) utilizate de site-urile web sunt o serie de numere separate prin puncte. Deși acest sistem de adrese este foarte eficient pentru computere în ceea ce privește citirea și procesarea, pentru oameni este extrem de dificil să-și amintească aceste numere. Pentru a rezolva această problemă, numele de domeniu au fost atașate la adresele IP numerice. Ceea ce a devenit cunoscut ca și adresele site-urilor web sunt de fapt numele de domeniu.
Informațiile despre numele de domeniu sunt stocate și accesate pe servere speciale, cunoscute sub denumirea de servere de nume de domeniu, care convertesc numele de domenii în adrese IP și invers. Nivelul superior al DNS se află în zona rădăcină, unde toate adresele IP și numele de domenii sunt păstrate în baze de date și sortate după nume de domeniu de nivel superior, cum ar fi .com, .net și .org.
Dezvoltarea DNSSEC
Când DNS a fost implementat pentru prima oară, nu a inclus nici un fel de securitate și, imediat după ce a fost pus în funcțiune, au fost descoperite mai multe vulnerabilități. Ca rezultat, a fost dezvoltat un sistem de securitate sub forma unor extensii care ar putea fi adăugate la protocoalele DNS existente. Acest sistem a fost ulterior verificat, modificat și aprobat ca standard de către Internet Engineering Task Force (IETF).
După mai multe implementări de testare, începând cu anul 2007, DNSSEC a fost oficial implementat la nivel root în 2010 pentru adresele TLD care utilizează domeniul .org. La sfârșitul anului 2010 și 2011, domeniile TLD .com, .net și .edu au fost și acestea actualizate pentru DNSSEC, iar punerea în aplicare continuă pentru domeniile specifice fiecărei țări. Până în noiembrie 2011, peste 25% din toate domeniile TLD au fost incluse în cadrul acestui set de protocoale.
Cum funcționează DNSSEC
Scopul inițial al DNSSEC a fost acela de a proteja clienții de pe Internet de datele de pe DNS contrafăcute, prin verificarea semnăturilor digitale încorporate în date. Dacă semnăturile digitale din date se potrivesc cu cele stocate în serverele principale DNS, atunci datele sunt permise să continue către calculatorul client care face cererea.
DNSSEC utilizează un sistem de chei publice și semnături digitale pentru a verifica datele. Aceste chei publice pot fi, de asemenea, folosite de către sistemele de securitate care criptează datele în timp ce sunt trimise prin Internet și apoi le decodifică atunci când sunt primite de către destinatarul final. Cu toate acestea, DNSSEC nu poate proteja intimitatea sau confidențialitatea datelor deoarece nu include algoritmi de criptare. Acesta conține doar cheile necesare pentru autentificarea datelor DNS ca fiind autentice sau inaccesibile.
Implementarea DNSSEC a impus crearea mai multor noi tipuri de înregistrări pentru DNS. Aceste tipuri de înregistrări sunt:
DS
DNSKEY
NSEC
RRSIG
Înregistrarea RRSIG este semnătura digitală și stochează informațiile cheie utilizate pentru validarea datelor însoțitoare. Cheia conținută în înregistrarea RRSIG se potrivește cu cheia publică din înregistrarea DNSKEY. Pachetul de înregistrări NSEC, inclusiv NSEC, NSEC3 și NSEC3PARAM, este apoi utilizat ca referință suplimentară pentru a împiedica încercările de falsificare DNS. Înregistrarea DS este utilizată pentru a verifica cheile pentru subdomenii.
Procesul specific folosit pentru o căutare DNSSEC variază în funcție de tipul de server utilizat pentru a efectua sau a trimite interogarea. Serverele de nume recursive, deseori operate de furnizorii de servicii Internet (ISP), utilizează un proces unic pentru validarea DNSSEC. Serverele care rulează Microsoft Windows utilizează ceea ce se numește resolvers stub, care necesită și un anumit proces.
Indiferent de procesul utilizat, verificarea cheilor DNSSEC necesită puncte de pornire numite ancore de încredere. Ancorele de încredere sunt incluse în sistemele de operare sau în alte programe de încredere. După ce o cheie este verificată prin ancora de încredere, aceasta trebuie verificată și de serverul de nume autoritar prin intermediul lanțului de autentificare, care constă într-o serie de înregistrări DS și DNSKEY.
Probleme cu DNSSEC
În timp ce DNSSEC sporește în mod dramatic securitatea Internetului, descoperirile recente au arătat că aceasta poate provoca o nouă vulnerabilitate, cunoscută sub denumirea de enumerare a zonei. Datele zonei DNS au fost în mod tradițional păstrate private, deoarece includ informații despre rețea pentru site-uri și servere specifice. Oricine ar obține aceste informații ar putea mult mai ușor să pregătească și să implementeze un atac.
DNSSEC-ul original a avut nevoie că serverele DNS să dezvăluie toate datele din zona DNS, astfel încât un raport definitiv să poată fi generat atunci când un nume de domeniu nu a fost găsit. Cu toate acestea, versiunile mai noi ale DNSSEC utilizează una sau mai multe soluții, care folosesc adesea înregistrările NSEC3.
Comentarii