Skip to main content

Hva er DNS -sikkerhet?

Domain Name System (DNS) Security Extensions (DNSSEC) er et middel for å beskytte Internett og dets brukere mot mulige angrep som kan deaktivere, eller hindre tilgang til de essensielle navneservicetjenestene på Internett.Sikkerhetsutvidelsene skaper en måte for DNS -serverne å fortsette å oppgi sin Internet Protocol (IP) adresseoversettelsesfunksjoner, men med den ekstra bestemmelsen som DNS -serverne autentiserer med hverandre ved å lage en serie tillitsforhold.Gjennom utvidelsene oppnår dataene som deles mellom DNS -serverne også et integritetsnivå som normalt er vanskelig over til den eksisterende protokollen som dataene overføres.

Opprinnelig ble DNS opprettet som en usikret, offentlig distribusjon av navn ogderes relaterte IP -adresser.Etter hvert som internett vokste, utviklet det seg imidlertid en rekke problemer relatert til DNS -sikkerhet, personvern og integriteten til DNS -dataene.Når det gjelder personvernproblemer, ble problemet tidlig håndtert av riktig konfigurasjon av DNS -servere.Likevel er det mulig for en DNS -server å bli utsatt for en rekke forskjellige typer angrep, for eksempel distribuert nektelse av tjenesten (DDOS) og bufferoverløpsangrep, som kan påvirke enhver type server.Spesifikt for DNS er imidlertid spørsmålet om noen eksterne kildeforgiftninger dataene ved å innføre falsk informasjon.

DNSSEC ble utviklet av Internet Engineering Task Force (IETF), og beskrevet i flere forespørsel om kommentar (RFC), 4033Gjennom 4035. Disse dokumentene beskriver DNS -sikkerhet som oppnåelig gjennom bruk av offentlige nøkkelgodkjenningsteknikker.For å lindre behandling på DNS -serverne, er det bare autentiseringsteknikkene som brukes og ikke kryptering.

Måten DNSSEC fungerer på er gjennom å skape tillitsforhold mellom de forskjellige nivåene i DNS -hierarkiet.På toppnivå er rotdomenet til DNS etablert som den primære mellomledningen mellom de nedre domenene, for eksempel .com, .org og så videre.Underdomener ser deretter på rotdomenet, og fungerer som det som kalles en pålitelig tredjepart, for å validere troverdigheten til de andre, slik at de kan dele nøyaktige DNS-data med hverandre.

Én problemstilling som dukker opp som et resultat avMetoder beskrevet i RFC -er kalles soneoppregning.Det blir mulig for en ekstern kilde å lære identiteten til hver navngitte datamaskin i et nettverk.Noe kontrovers utviklet seg med DNS -sikkerhet og soneoppregningsproblemet på grunn av det faktum at selv om DNS ikke opprinnelig var designet for personvern, krever forskjellige juridiske og statlige forpliktelser at dataene forblir private.En tilleggsprotokoll, beskrevet i RFC 5155, beskriver et middel for å implementere flere ressursregister i DNS som kan lindre problemet, men ikke fjerne det helt.

Andre problemer med implementering av DNS -sikkerhet dreier seg om kompatibilitet med eldre systemer.De implementerte protokollene må være universelle og derfor forstått av alle datamaskiner, servere og klienter, som bruker Internett.Siden DNSSEC implementeres ved hjelp av programvareutvidelser til DNS, dukket det imidlertid opp noen vanskeligheter med å få eldre systemer riktig oppdatert for å støtte de nye metodene.Fortsatt begynte distribusjonen av DNSSEC -metodene på rotnivået i slutten av 2009 og begynnelsen av 2010, og mange moderne datamaskinoperativsystemer er utstyrt med DNS -sikkerhetsutvidelser.