Hva er DNS -sikkerhet?
Domain Name System (DNS) Security Extensions (DNSSEC) er et middel til å beskytte Internett og dets brukere mot mulige angrep som kan deaktivere, eller hindre tilgang til de essensielle navnedjenestene på Internett. Sikkerhetsutvidelsene skaper en måte for DNS -serverne å fortsette å oppgi sin Internet Protocol (IP) adresseoversettelsesfunksjoner, men med den ekstra bestemmelsen som DNS -serverne autentiserer med hverandre ved å lage en serie tillitsforhold. Gjennom utvidelsene oppnår dataene som er delt mellom DNS -serverne også et integritetsnivå som normalt er vanskelig over til den eksisterende protokollen som dataene overføres.
Opprinnelig ble DNS opprettet som en usikret, offentlig distribusjon av navn og deres relaterte IP -adresser. Etter hvert som internett vokste, utviklet det seg imidlertid en rekke problemer relatert til DNS -sikkerhet, personvern og integriteten til DNS -dataene. Når det gjelder personvernproblemer, ble problemet håndtert tidlig av riktig COnfigurasjon av DNS -servere. Likevel er det mulig for en DNS -server å bli utsatt for en rekke forskjellige typer angrep, for eksempel distribuert nektelse av tjenesten (DDOS) og bufferoverløpsangrep, som kan påvirke enhver type server. Spesifikt for DNS er imidlertid spørsmålet om noen eksterne kildeforgiftning av dataene ved å innføre falsk informasjon.
DNSSEC ble utviklet av Internet Engineering Task Force (IETF), og detaljert i flere forespørsel om kommentar (RFC) -dokumenter, 4033 til 4035. Disse dokumentene beskriver DNS -sikkerhet som oppnåelig gjennom bruk av offentlige nøkkelgodkjenningsteknikker. For å lindre behandling på DNS -serverne, er det bare autentiseringsteknikkene som brukes og ikke kryptering.
Måten DNSSEC fungerer på er gjennom å skape tillitsforhold mellom de forskjellige nivåene i DNS -hierarkiet. På toppnivå er rotdomenet til DNS ESTABlisert som den primære mellomledd mellom de nedre domenene, for eksempel .com, .org, og så videre. Underdomener ser deretter på rotdomenet, og fungerer som det som kalles en pålitelig tredjepart, for å validere troverdigheten til de andre, slik at de kan dele nøyaktige DNS-data med hverandre.
Ett problem som dukker opp som et resultat av metodene beskrevet i RFC -ene kalles soneoppregning. Det blir mulig for en ekstern kilde å lære identiteten til hver navngitte datamaskin i et nettverk. Noe kontrovers utviklet seg med DNS -sikkerhet og soneoppregningsproblemet på grunn av det faktum at selv om DNS ikke opprinnelig var designet for personvern, krever forskjellige juridiske og statlige forpliktelser at dataene forblir private. En tilleggsprotokoll, beskrevet i RFC 5155, beskriver et middel for å implementere ytterligere ressursregister i DNS som kan lindre problemet, men ikke fjerne det helt.
Andre problemer med implementering av DNS -sikkerhet dreier seg om kompatibility med eldre systemer. De implementerte protokollene må være universelle og derfor forstått av alle datamaskiner, servere og klienter, som bruker Internett. Siden DNSSEC implementeres ved hjelp av programvareutvidelser til DNS, dukket det imidlertid opp noen vanskeligheter med å få eldre systemer riktig oppdatert for å støtte de nye metodene. Fortsatt begynte distribusjonen av DNSSEC -metodene på rotnivå i slutten av 2009 og begynnelsen av 2010, og mange moderne datamaskinoperativsystemer er utstyrt med DNS Security Extensions.