Разширенията за сигурност на системата за имена на домейни , известни също като DNS разширения за сигурност или по-често наричани DNSSEC за улеснение, са набор от протоколи, които добавят ниво на сигурност към процесите за търсене и обмен на DNS записи.

Преди да се потопите по-дълбоко, трябва да знаете функционалността на DNS.

Системата за имена на домейни (DNS) е най-голямата виртуална база данни в интернет, която улеснява превода на името на домейна в съответния му IP адрес . Тази система се превърна в неразделна част от достъпа до уебсайта в интернет.

В интернет IP адресите идентифицират компютърни системи и цифрови устройства. За хората е доста трудно да запомнят дългия и сложен IP адрес (цифров адрес), тъй като хората лесно разбират и запомнят прости буквено-цифрови фрази (име на домейн).

Така че, ако искате да получите достъп до конкретна машина в интернет, трябва да знаете нейния правилен IP адрес. Тук DNS играе важна роля. Разглеждайте DNS като „телефонния указател на интернет“, съдържащ информацията за имената на домейни и свързаните с тях IP адреси: той казва на компютрите къде да изпращат и извличат данни.

Разработка на DNSSEC

През 1983 г. е създаден DNS и след създаването на Internet Engineering Task Force (IETF) през 1986 г. той се превръща в един от оригиналните интернет стандарти. Сигурността не беше основно съображение при проектирането му. Няколко уязвимости в сигурността бяха открити скоро след прилагането му. Преди да се свържете с уебсайта, вашият браузър трябва да извлече IP адреса на уебсайта чрез DNS. Има шансове нападателят да прихване вашите DNS заявки и да инжектира неправилна/невалидна DNS информация, което от своя страна да накара браузъра ви да се свърже с неточен или злонамерен уебсайт. Можете да предоставите вашата информация, като вашето потребителско име и парола (може би се опитвате да получите достъп до уебсайта на вашата банка), което води до изтичане на защитена информация и данни.

В резултат на това беше създадена система за сигурност под формата на разширение, което да я добави към съществуващите DNS протоколи. Тази система за сигурност (DNSSEC) по-късно беше одобрена и модифицирана от Internet Engineering Task Force (IETF) .

След няколко теста и внедрявания през 2010 г. DNSSEC беше официално внедрен на основно ниво, на адреси на домейни от първо ниво (TLD) като .org. В края на 2010 г., 2011 г. тази система беше внедрена на адресите на домейни от първо ниво (TLD) .com, .net и .edu . Внедряването продължава дори за специфични за държавата адреси на домейни от първо ниво (ccTLD). Швеция (.SE) активира DNSSEC в тяхната зона, което прави „.SE“ първият специфичен за страната адрес на домейн от първо ниво (ccTLD), който внедрява DNSSEC.

Как работи DNSSEC

DNSSEC има за цел да засили доверието на потребителите в интернет, да ги защити и да ги предотврати от кацане или пренасочване към измамни уебсайтове и нежелани адреси чрез проверка на цифровия подпис, вграден в отговора на DNS данните, и защита на потребителя от фалшиви DNS данни.

Когато потребителят въведе името на домейна в браузъра, резолверът проверява цифровия подпис. Ако цифровият подпис съвпада с данните, съхранени в главните DNS сървъри, тогава данните се предават на клиентския компютър, за да се направи заявката.

DNSSEC използва публичните ключове и цифровия подпис за проверка на данните. Трябва да добавите новите записи във вашия DNS, заедно със съществуващите записи. Тези нови типове записи са:

• RRSIG съдържа криптографски подпис.
• DNSKEY се състои от публичен ключ за подписване.
• DS съдържа хеша на DNSKEY.
• NSEC и NSEC3 за изрично отричане на съществуването на DNS запис.
• CDNSKEY и CDS за дъщерна зона, изискващи актуализации на DS запис(и) в родителската зона.

Тези записи използват криптографския метод с публичен ключ , за да „подпишат“ домейна цифрово.

DNSSEC също така съдържа двата основни типа ключове.

• Ключът за подписване на зоната (ZSK) съдържа частните и публичните ключове, използвани за подписване и валидиране на наборите от записи на зоната.
• Ключът за подписване на ключ (KSK) се използва за валидиране на записа DNSKEY.

DNSKEY записът на зоната се състои от двата ключа.

И така, ето как работи системата DNSSEC.

• Когато потребителят въведе името на домейна в лентата за търсене на браузъра, за да получи IP адреса на името на домейна. Браузърът изисква DNS резолвера/резолвера на локалния компютър за решаване на заявката.
• Ако DNS резолверът/резолверът на мъничетата на локалния компютър има IP в своя кеш, той ще го върне. В противен случай той ще се свърже с рекурсивния резолвер, управляван от доставчика на интернет услуги (ISP), за да разреши заявката.
• Ако рекурсивният резолвер, управляван от доставчика на интернет услуги (ISP), има IP в своя кеш, той ще го върне. В противен случай той започва рекурсивна заявка за DNS сървъра, който съдържа достоверната информация за искания домейн.
• Той започва да се свързва с главния DNS сървър, който се отнася до DNS сървъра на домейна от първо ниво (TLD). Ако потребителят въведе example.com , основният DNS сървър ще препрати към TLD DNS сървъра за всички .com домейни.
• TLD DNS сървърът се отнася до авторитетния DNS сървър на домейна, който съдържа информацията за исканото име на домейн.
• На всеки етап резолверът изисква DNSSEC записи, свързани с DNS зоната, за да провери дали сървърът е автентичен. Рекурсивният преобразувател също изисква доверен DNS сървър за DNSSEC записи за DNS зоната „example.com“. Упълномощеният DNS сървър връща DNS отговор с RRSIG записи, включени в него.
• Рекурсивният резолвер валидира RRSIG записа, за да провери дали записите на авторитетния DNS сървър са точни. След това изпраща валидирания DNS отговор до DNS клиента.

Въпреки това търсенето на DNS записи и процесът на валидиране на DNSSEC варират в зависимост от типовете сървъри, използвани за създаване или изпращане на DNS заявка. Рекурсивните сървъри за имена (често управлявани от ISP) използват различен начин за валидиране на DNSSEC от сървърите, работещи с Microsoft Windows.

запис DS

DS записът е съкращение от Delegation Signer и се състои от уникалния низ на вашия публичен ключ и свързаните с него метаданни. DS записът се състои от четири полета.

1. Key Tag е кратката цифрова стойност, наричана още ID на ключа. Той идентифицира посочения DNSKEY запис.
2. Алгоритъмът е типът алгоритъм на посочения DNSKEY запис .
3. Дайджест тип е криптографската хеш функция, използвана за генериране на дайджест стойността.
4. Дайджестът е дългият низ в края (криптографската хеш стойност на посочения DNSKEY-запис).

Например записът на DS изглежда така.

example.com. 21599 IN DS 31589 8 2 CDE0D742D6998AA554A92D890F8184C698CFAC8A26FA59875A990C03E576343C

Тук,

• example.com е името на домейна .
• 21599 е TTL (време за живот) .
• IN указва протоколната група на информацията – класът на Интернет .
• 31589 е ключовият етикет .
• 8 е тип Алгоритъм .
• 2 е тип дайджест .
• И дългият низ в края е Digest .

Забележка: DS записите трябва да отговарят на RFC 4034.

Предимства на DNSSEC

• Защитете потребителите от злонамерени дейности като DNS подправяне/отравяне на кеша и др.
• Увеличете доверието в интернет, като предотвратите пренасочването на потребителите към измамни уебсайтове.

Забележка: DNSSEC не е ограничен само до мрежата и всяка друга услуга или протокол в интернет, като DNSSEC с имейл (SMTP), незабавни съобщения и т.н., може да използва DNSSEC.

Препоръчително ли е да активирате DNSSEC за всеки домейн?

Независимо дали искате DNSSEC за вашия домейн, зависи изцяло от вас. Въпреки това е за предпочитане да имате DNSSEC, тъй като осигурява допълнителен слой на DNS сигурност. Помага за предотвратяване на злонамерени дейности, като отравяне на кеша/подправяне на DNS.

Но имайте предвид, че всички TLD не поддържат DNSSEC. Ако TLD го позволява, по-добре е да активирате DNSSEC за по-добри мерки за сигурност.