Co to jest DNSSEC?

DNSSEC to rozszerzenie protokołu DNS o technologie kryptograficzne, wykorzystujące mechanizm kluczy asymetrycznych (tj. klucz publiczny i klucz prywatny). Wprowadzenie tego mechanizmu zwiększa poziom bezpieczeństwa protokołu DNS.

Dzięki wykorzystaniu materiału kryptograficznego i podpisów cyfrowych możliwe jest uwierzytelnianie danych otrzymanych w procesie rozwiązywania nazw domen internetowych na adresy IP.

Ataki typu cache-poisoning czy inne modyfikujące dane zawarte w pakietach DNS – mimo, że ciągle możliwe – staną się bezskuteczne. Użytkownik lub jego system operacyjny będą w stanie stwierdzić, czy informacja, która do niego dotarła, jest poprawna czy fałszywa, a co za tym idzie: czy strona internetowa, którą odwiedza, to np. strona banku czy podszywająca się pod nią strona fałszywa (phishing).

Koniec z phishingiem

Phishing to metoda podszywania się pod oryginalną witrynę internetową za pomocą identycznej lub łudząco podobnej, spreparowanej przez przestępców strony internetowej celem wyłudzenia poufnych informacji. Najczęściej są to hasła do kont bankowych.

Ataki tego typu wykorzystują błędy w przeglądarkach internetowych lub korzystają z możliwości zmiany danych przesyłanych w pakietach DNS. W rezultacie niczego niepodejrzewający użytkownik wchodzi na taką stronę, loguje się na swoje konto poprawnym loginem i hasłem, które następnie zostają przechwycone i wykorzystane do przestępstwa. W tym wypadku kradzieży pieniędzy.

DNSSEC historycznie

NASK prowadził testową strefę dnssec.pl już w 2006 roku, jednak bez zainteresowania ze strony Partnerów NASK, których rola w całym procesie zabezpieczenia jest zasadnicza. Rynek nie zareagował. Dopiero podpisanie strefy root 15 lipca 2010 roku przez organizację IANA otworzyło nowe możliwości rozwoju dla tego mechanizmu.

Przestrzeń domen stała się globalnie weryfikowalna, a kolejne rejestry zaczęły publikować swoje rekordy DS. W tej chwili w strefie root jest ich 28 (.be, .bg, .biz, .br, .cat, .ch, .cz, .dk, .edu, .eu, .fr, .info, .li, .lk, .museum, .na, .nu, .org, .pm, .pr, .pt, .re, .se, .tf, .th, .tm, .uk, .us) i kilka testowych stref IDN. Dzięki temu wydaje się możliwe stworzenie nowego produktu, a więc zainteresowanie rynku tym mechanizmem, co przełoży się w ostateczności na korzyść w postaci zwiększenia bezpieczeństwa w Internecie.

Świadomość i wiedza operatorów DNS muszą zostać przystosowane do nowych warunków świadczenia usług. O ile sama technologia DNS w większości wypadków była technologią „skonfiguruj (poprawnie) i zapomnij”, o tyle DNSSEC już taki nie jest. Stałe monitorowanie strefy, zachowanie łańcucha zaufania (chain of trust), weryfikowanie poprawności podpisów, ich czasu ekspiracji oraz procedury wymiany kluczy wymuszają, by administratorzy zwrócili znacznie większa uwagę na to, co się w strefie dzieje.

Niezbędne jest opracowanie jasnych i skutecznych procedur. Nawet drobna pomyłka może sprawić, że całe drzewo nazw, które znajdują się w naszej strefie przestanie być weryfikowalne, co na pewno przekłada się na koszty operacyjne.

Rys. 1. Łańcuch zaufania.