Что такое DNSSEC: справочная информация

26 мая 2011, Ольга Мельник

Современная система доменных имен DNS была создана еще в 80х годах прошлого века. Эта система не обеспечивает необходимый на сегодняшний день уровень защиты, чем и пользуются злоумышленники, которые, зная уязвимости DNS, получат доступ к конфиденциальной информации, крадут пароли, данные доступа или совершают другие преступления.

По сути современная DNS работает на доверии сторон – переходя по ссылке на сайт, мы доверяем тому, что за ссылкой кроется именно тот сайт, на который она указывает. Между тем, такое доверие в наше время опасно. Чтобы защитить систему DNS и сделать ее использование более безопасным, была внедрена новая технология DNSSEC.

Система DNSSEC представляет собой протокол, обеспечивающий защиту традиционной системы DNS от различного рода уязвимостей. DNSSEC расшифровывается как Domain Name System Security Extensions и означает «Расширение безопасности системы доменных имен». DNSSEC – это набор расширений для DNS, в который вошли расширения, выполняющие следующие действия:

— аутентификацию DNS данных (проверка сайта на достоверность)
— проверка на целостность данных
— проверка на отрицание существования (например, подставной сервер DNS может сообщать пользователю, что домена не существует, хотя на самом деле он есть).

Необходимость внедрения DNSSEC связана с существованием целого ряда уязвимостей системы DNS.

Наиболее известной является перенаправление пользователей на фальшивые сайты. Современная DNS никоем образом не защищает пользователя от такой уязвимости. Злоумышленники могут использовать поставные DNS-сервера и перенаправлять запросы пользователей на подставные сервера и получать таким образом от них конфиденциальную информацию. Сами пользователи в большинстве случаев даже не подозревают о том, что запрос был перенаправлен на другой сайт и что вместо любимой социальной сети или онлайновой игры они попали на мошеннический ресурс. Стоит ли подчеркивать, что внешне такие ресурсы практически не отличаются друг от друга.

DNSSEC позволит защитить пользователей от фальшивых DNS то есть от попытки перенаправить их на ложные сайты.

DNSSEC использует криптографическую защиту. Механизмы защиты DNS были созданы давно, однако только в последнее время стали говорить о необходимости глобальной защиты Интернета с помощью DNSSEC. До недавнего времени протоколом DNSSEC защищались только отдельные доменные зоны, сейчас идет речь о защите с помощью новой технологии всей системы доменных имен.

Использование DNSSEC означает, что к традиционной DNS будут добавлены механизмы проверки подлинности веб-адресов данных с помощью цифровой (электронной) подписи. В рамках DNSSEC используется цифровая подпись с открытым ключом.

Цифровая подпись прикрепляется к адресу сайта, а именно — к информации о нем, размещенном на сервере DNS. Для цифровой подписи существует два ключа — открытый и секретный. Открытый ключ позволяет проверить достоверность подписи. Чтобы сгеренировать новую подпись, то есть подписать адрес сайта, а, точнее, показать, что сайт является оригинальным, нужно знать секретный ключ. Подобрать его невозможно.

Цифровая подпись предоставляется одновременно с адресом сайта, эти два набора данных связаны друг с другом. Просто скопировать цифровую подпись и прикрепить ее к другому сайту тоже нельзя – такой подлог будет легко раскрыт.

Таким образом, использование DNSSEC означает, что администратор доменной зоны подписывает данные своего DNS-сервера, а именно – сведения о соответствии доменных имен и IP-адресов. Делается это с помощью секретного (закрытого) ключа. Соответственно, изменить запись о доменных именах, защищенных с помощью DNSSEC, можно только при наличии закрытого ключа. Пару ключей (открытый и закрытый) получает администратор домена. Информация о ключах хранится на первичном DNS-сервере.

Закрытый ключ используется для подписи зоны после каждого изменения. Цифровая подпись закрытого ключа передается администратору родительской зоны и подписывается его закрытым ключом. Такая система позволяет создать цепочку доверия. Зная открытый ключ, администратора родительской зоны можно проверить достоверность открытого ключа любой из дочерних зон.

Открытая информация, необходимая для проверки достоверности доменов, публикуется в открытом доступе. Поэтому существующие ПО (например, браузеры или DNS-сервера) могут легко проверить достоверность адреса сайта и того, куда он ссылается на основе такой открытой информации.

Система DNSSEC не обеспечивает конфиденциальность данных; в частности, все DNSSEC ответы аутентифицированны, но не шифруются.

Для внедрения системы DNSSEC сервера DNS должны быть обновлены программным обеспечением, поддерживающим DNSSEC.

Для полноценного внедрения DNSSEC для всей системы DNS необходимо создание цепочки доверия, которая идет от корневой зоны DNS. ICANN выработала постепенную процедуру внедрения подписанной корневой зоны и механизма распространения ключей

К июню 2010 года все корневые серверы корректно работали с зоной, подписанной невалидным ключом. В июле ICANN провела международную конференцию, на которой, в частности, поднимались вопросы о генерации ключей для системы DNSSEC.

В конце июля ICANN сообщила о завершении процесса внедрения DNSSEC, в результате чего корневая зона была подписана электронной подписью.

You can leave a response, or trackback from your own site.

Подпишитесь на новости: