Wat is DNS -beveiliging?
Het Domain Name System (DNS) beveiligingsuitbreidingen (DNSSEC) zijn een middel om het internet en zijn gebruikers te beschermen tegen mogelijke aanvallen die de essentiële naamgevingsdiensten op internet kunnen uitschakelen of belemmeren. De beveiligingsuitbreidingen creëren een manier voor de DNS -servers om hun internetprotocol (IP) adresvertaalfuncties te blijven bieden, maar met de extra bepaling die de DNS -servers met elkaar authenticeren door een reeks vertrouwensrelaties te creëren. Door de extensies behalen de gegevens die worden gedeeld met de DNS -servers ook een integriteitsniveau dat normaal gesproken moeilijk is naar het bestaande protocol waarmee de gegevens worden overgedragen.
Oorspronkelijk zijn de DNS gemaakt als een ongedekte, openbare verdeling van namen en hun gerelateerde IP -adressen. Naarmate het internet groeide, zijn er echter een aantal ontwikkelde problemen met betrekking tot DNS -beveiliging, privacy en de integriteit van de DNS -gegevens. Met betrekking tot privacykwesties werd het probleem al vroeg behandeld door de juiste COnfiguratie van DNS -servers. Toch is het mogelijk dat een DNS -server wordt onderworpen aan een aantal verschillende soorten aanvallen, zoals gedistribueerde weigering van services (DDO's) en bufferoverloopaanvallen, die elk type server kunnen beïnvloeden. Specifiek voor de DNS is echter de kwestie van sommigen van externe bron die de gegevens vergiftigt door valse informatie te introduceren.
DNSSEC is ontwikkeld door de Internet Engineering Task Force (IETF) en gedetailleerd in verschillende aanvragen voor commentaar (RFC) documenten, 4033 tot 4035. Deze documenten beschrijven DNS -beveiliging als haalbaar door het gebruik van openbare sleutelauthenticatietechnieken. Om de verwerking van de DNS -servers te verlichten, worden alleen de authenticatietechnieken gebruikt en niet codering.
De manier waarop DNSSEC werkt, is door het creëren van vertrouwensrelaties tussen de verschillende niveaus van de DNS -hiërarchie. Op het hoogste niveau is het rootdomein van de DNS ESTAGebogen als de primaire tussenpersoon tussen de lagere domeinen, zoals .com, .org, enzovoort. Sub-domeinen kijken dan naar het rootdomein, die handelt als wat een vertrouwde derde partij wordt genoemd, om de geloofwaardigheid van de anderen te valideren, zodat ze nauwkeurige DNS-gegevens met elkaar kunnen delen.
Eén probleem dat opduikt als gevolg van de in de RFC's beschreven methoden wordt zone -opsomming genoemd. Het wordt mogelijk voor een externe bron om de identiteit van elke benoemde computer op een netwerk te leren. Sommige controverse ontwikkelde zich met DNS -beveiliging en het opsommingsprobleem van de zone vanwege het feit dat hoewel de DNS oorspronkelijk niet voor privacy was ontworpen, verschillende juridische en overheidsverplichtingen vereisen dat de gegevens privé blijven. Een extra protocol, beschreven in RFC 5155, beschrijft een middel om extra resource -records in de DNS te implementeren die het probleem kunnen verlichten, hoewel het het niet volledig kan verwijderen.
Andere problemen met de implementatie van DNS -beveiliging draaien rond Compatibility met oudere systemen. De geïmplementeerde protocollen moeten universeel zijn en daarom worden begrepen door alle computers, servers en klanten die internet gebruiken. Aangezien DNSSEC wordt geïmplementeerd door middel van software -extensies voor de DNS, is er echter een problemen naar voren gekomen om oudere systemen goed bij te werken om de nieuwe methoden te ondersteunen. Toch begon de implementatie van de DNSSEC -methoden eind 2009 en begin 2010 op het grondniveau, en veel moderne computerbesturingssystemen zijn uitgerust met de DNS -beveiligingsuitbreidingen.