DNSSEC

Drukāt

DNSSEC - DNS drošības paplašinājums

DNSSEC (Domain Name System Security Extension) ir domēna vārdu sistēmas drošības paplašinājums, kas nodrošina DNS datu autentifikāciju un ļauj pārliecināties, ka DNS atbildes saturs nav mainīts.

Kādēļ nepieciešams DNSSEC?

Esošā domēna vārdu sistēma (DNS) nesniedz informāciju par datu autentiskumu, jo DNS atbilde tiek sniegta bez avota validēšanas, tādā veidā paverot iespējas kādai trešajai personai to viltot. Plašākas sabiedrības uzmanība tam tika pievērsta 2008. gadā, kad Dans Kaminskis (Dan Kaminsky) atklāja cache ievainojamību (tā tika nosaukta par Kaminska defektu) - uzbrukuma gadījumā lietotāja pieprasījumu atvērt kādu tīmekļa vietni pārtver ļaundaris, kurš leģitīmās vietnes vietā lietotāju novirza pavisam uz citu lapu. Vizuāli jaunās lapas adrese būs tieši tāda pati, kādu pieprasījis lietotājs, arī saturiski lapa var būt ļoti vai pat pilnīgi līdzīga. Rezultātā uzbrukuma upuris, to pat nenojaušot, var, piemēram, sniegt uzbrucējam savus datus.

Ar DNSSEC parakstīta domēna vārda lietotājs var būt pārliecināts, ka viņa mājaslapas apmeklētāji sasniegs viņa lapu un netiks novirzīti uz citu vietni.

Ar DNSSEC nodrošināti resursu ieraksti izmanto asimetrisko kriptogrāfijas parakstīšanas algoritmus, lai izveidotu tā saukto „uzticamības ķēdi” publiskajā DNS kokā. Uzticamība aizsākas saknes zonā un seko tam pašam deleģēšanas procesam, kāds ir domēna vārdu reģistrācijai.

Piedāvājam noskatīties mūsu kolēģu no .ee veidotu izglītojošu video “Kas ir DNSSEC?”:

Igauņu kolēģu veidots video

Interneta pārlūkprogrammas jau iekļauj tehnoloģiju, kas izstrādāta, lai garantētu drošu datu apmaiņu starp lietotāju un interneta vietni. Datu apmaiņa tiek šifrēta, izmantojot TLS (Transport Layer Security). DNSSEC nav izstrādāts, lai aizvietotu šo TLS šifrēšanu, bet gan lai to papildinātu un novērstu lietotāju nokļūšanu nepareizajā vietnē pat pirms savienošanos nodrošina TLS.

Kas nepieciešams, lai izmantotu DNSSEC?

DOMĒNA VĀRDA LIETOTĀJAM:

Domēna vārda parakstīšanu ar DNSSEC veic NIC sadarbības partneri - .lv reģistratūras. Lai parakstītu savu domēna vārdu ar DNSSEC:

  1. Jūsu izvēlētajam augstākā līmeņa domēnam (piemēram, .lv, .eu, .ru) ir jābūt DNSSEC parakstītam. Lielākā daļa augstākā līmeņa domēnu, ieskaitot .lv, ir jau parakstīti, taču ir arī tādi, kuri šo procesu vēl nav veikuši. Sīkāka informācija pieejama ICANN izstrādātajā dokumentā ”TLD DNSSEC Report”.
  2. Jūsu domēna vārda reģistratūrai ir jāatbalsta DNSSEC. Proti, jūsu izvēlētajai reģistratūrai ir jāpieņem un jāuztur lietotāja DS ieraksti, kas satur visu nepieciešamo informāciju par DNS zonas parakstā izmantotajām atslēgām.
  3. Jūsu domēna vārda uzturētājam ir jāatbalsta DNSSEC. Bieži vien domēna vārda reģistratūra veic arī domēna vārda DNS ierakstu uzturēšanu, taču to var arī uzturēt kāda cita kompānija vai arī lietotājs pats. Neatkarīgi no tā, kurš ir domēna vārda serveru (name servers) uzturētājs, tam ir jāatbalsta DNSSEC un jāparaksta lietotāja DNS zonas ieraksti.

GALA LIETOTĀJAM:

Interneta lietotāju ieguvums no DNSSEC ieviešanas ir garantija, ka, ierakstot interneta vietnes adresi, tie sasniegs vēlamo adresātu, ja interneta vietne izmantos DNSSEC. Ar laiku DNSSEC validācija tiks iebūvētā datora operētājsistēmās un darbosies kā standarta tīkla infrastruktūras daļa, taču līdz tam šie ir soļi, kurus var veikt, ja rūp drošība internetā.

Gala lietotājam ir vairākas iespējas pārliecināties, ka tiek izmantots DNSSEC:

  • Lietotāja interneta pakalpojumu sniedzēja (IPS) vai lokālā tīkla nodrošināts DNS atrisinātājs (resolver) var veikt DNSSEC validāciju un automātiski bloķēt mājaslapas ar nekorektiem DNSSEC parakstiem (sīkāka informācija pie jūsu IPS).
  • Lietotājs uz sava lokālā datora var uzinstalēt DNSSEC pārbaudītāju (DNS validation resolver), NIC iesaka izmantot DNSSEC-Trigger.
  • Lietotājs var pievienot DNSSEC atbalstu savai interneta pārlūkprogrammai. NIC iesaka iepazīties:

REĢISTRATŪRAI:

  1. Piekrist DNSSEC prakses priekšrakstiem .lv zonai. DNSSEC parakstīšanas pakalpojumu nodrošina NIC saskaņā ar noteikumiem, kuru aktuālā redakcija tiek publicēta NIC tīmekļa vietnē. Pakalpojums tiek nodrošināts bez maksas. Noteikumu neievērošana var būt par pamatu tam, ka NIC liedz reģistratūrai turpmāku pakalpojuma izmantošanu un atlaižu saņemšanu par DNSSEC parakstītajiem domēna vārdiem. Izmantojot pakalpojumu, reģistratūra apliecina, ka:

    • Jums ir nepieciešamā tehniskā kompetence DNSSEC nodrošināšanai un pakalpojuma lietošanai;
    • izmantosiet pakalpojumu tikai tiem .lv domēna vārdiem, kuriem esat reģistratūra;
    • piekrītat, ka NIC piedāvā pakalpojumu bez garantijas, ka tas kalpo kādam noteiktam mērķim un ka NIC nav atbildīgs par jūsu izmantoto sistēmu pareizu darbību pakalpojuma izmantošanas gaitā;
    • apzināties un piekrītat, ka pakalpojuma izmantošana nepiešķir Jums īpašuma tiesības uz pakalpojumu vai jebkuru tā daļu, ne arī intelektuālā īpašuma tiesības attiecībā uz pakalpojumu;
    • uzturēsiet ar DNSSEC parakstītos domēna vārdus, un, pārtraucot DNSSEC pakalpojuma izmantošanu domēna vārdam, jūs apzināties, ka turpmākai domēna vārda lietošanai ir jāsamaksā domēna vārda lietošanas tiesību maksa, kāda tā noteikta bez atlaides par DNSSEC. Pakalpojuma maksa netiek atmaksāta vai pieskaitīta citam NIC pakalpojumam.

    Noteikumi stājas spēkā ar brīdi, kad pakalpojums tiek aktivizēts NIC tiešsaistes sistēmas DNSSEC apakšsadaļā un ir spēkā nenoteiktu laiku, ja vien kāda no pusēm to nepārtrauc.

  2. Ieviest un uzturēt DNSSEC. Internetā ir plaši pieejama informācija par DNSSEC ieviešanu, izmantojot dažādas platformas.

BEZMAKSAS risinājumi: KOMERCIĀLIE risinājumi:
Bind > 9.7+ (www.isc.org) BlueCoat
PowerDNS (www.powerdns.com) Infoblox
OpenDNSSEC + SoftHSM (www.opendnssec.org) Secure64
ZKT (www.hznet.de/dns/zkt/) Xelerance

NIC iesaka iepazīties ar projektu DNSSEC-Tools, kura ietvaros ir izstrādāts plašs gan komerciālo, gan bezmaksas DNSSEC rīku klāsts dažādiem DNSSEC pielietošanas, ieviešanas un pārbaudes aspektiem. Sīkāks rīku pārskats un DNSSEC ieviešanas piemēri pieejami: http://www.internetsociety.org/deploy360/resources/video-getting-started-with-dnssec/;

Papildu informācija (EN):