Що таке DNSSEC і чому це важливо?

DNS, скорочення від Domain Name System, – це децентралізована та ієрархічна система іменування, зарезервована для комп'ютерів та служб, що підключаються до Інтернету.

Інформація про доменні імена пов'язана з DNS. Базові протоколи мереж, за допомогою яких ідентифікуються та визначаються розташування пристроїв та служб, виконуються шляхом переведення доменних імен, які людина може прочитати, наприклад xyz.org, у числову IP-адресу.

Що таке DNS?

На сервери імен кожного домену DNS покладає відповідальність за надання та зіставлення IP-адрес
цим доменам. Це допомагає створити стійку до відмови службу, яка є розподіленою, а не централізованою. DNS також відомий визначенням протоколу DNS – специфікації обміну даними та структур даних, що використовуються в DNS.

Що таке DNSSEC та його актуальність сьогодні?

Розширення безпеки DNS (DNSSEC) – це технологія, яка захищає від атак отруєння кешу. Переконатися в достовірності відповіді DNS можна за допомогою цифрового "підпису" даних. Криптографічний підпис, що використовується в DNSSEC, аналогічний підпису електронної пошти за допомогою GPG. Використовуючи цей метод, можна бути впевненим у достовірності відповіді та особи підписувача.

Унікальні записи, створені в DNS, дозволяють клієнтам підтверджувати достовірність підпису. Центрального органу для сертифікації немає. Натомість батьківські зони повинні надавати в делегації хеш-інформацію сертифіката для підтвердження достовірності.

DNS відомий як довідник телефону Інтернету. Він вказує комп'ютеру, куди надсилати та отримувати інформацію. Проблема в тому, що DNS було створено у 1980-х роках, коли Інтернет був мінімальним. У ті часи кібербезпека не викликала побоювань. Номенклатура DNS була така, що вона могла за умовчанням приймати будь-яку адресу, яку їй давали, не ставлячи жодних запитань.

Це означало реальний випадок загрози кібербезпеці, оскільки не було способу перевірити справжність запиту. Він міг перевірити відповідь тільки з тієї ж IP-адреси, з якої було надіслано початковий запит. Отже, це поганий спосіб автентифікації промови, оскільки IP-адреса джерела може бути підроблена або підмінена. Зловмисники маскують свою особу, використовуючи авторитетний сервер імен. Таким чином, зловмисники можуть перенаправити користувача не туди, куди він мав намір потрапити, не підозрюючи про це.

Проблема ще більше ускладнюється, коли рекурсивні резолвери кешують дані DNS для прискорення дозволу. Тепер це означає, що якщо резолвер на пристрої запитує дані DNS, рекурсивний резолвер вже зберіг їх у своєму кеші і може негайно відповісти. Це добре з точки зору швидкості та ефективності. Тим не менш, ризик полягає в тому, що при кібератаці підроблена DNS-відповідь буде прийнята резолверами, які вже мають отруєний кеш. Таким чином, це означає, що будь-якому користувачеві, який взаємодіє з отруєним кешем, будуть надсилатися підроблені дані DNS, поки не закінчиться їх TTL (час життя).

DNSSEC додає додаткову безпеку в DNS, зберігаючи при цьому зворотну сумісність.

Глосарій важливих записів DNSSEC

Перш ніж зрозуміти, як працює DNSSEC, необхідно розібратися у типах записів ресурсів DNS.

• RRSIG (підпис запису ресурсу): Тут міститься підпис DNSSEC для набору записів. DNS перевіряє підпис за допомогою відкритого ключа, який зберігається в записі DNSSEC.
• DNSKEY: містить відкритий ключ, який використовується для перевірки підпису DNSSEC.
• DS (підписант делегування): Містить ім'я делегованої зони та посилання, які записує DNSSEC.
• NSEC (наступний захищений запис): містить посилання на ім'я наступного запису. Резольвери DNSSEC використовують це посилання для перевірки в рамках валідації.
• NSEC3 (наступний захищений запис версії 3): Ці записи схожі на записи NSEC, але в них використовуються криптографічно хешовані імена записів.

Як працює DNSSEC?

При використанні DNSSSEC відповідь на запит DNS містить DNS-запис RRSIG і тип запису, що запитується. Цей запис RRSIG являє собою цифровий підпис даних DNS, що запитуються. Підпис перевіряється та розташовується у правильному відкритому ключі, що знаходиться у DNSKEY. Записи NSEC та NSEC3 забезпечують криптографічне підтвердження неіснування запиту.

DS (особа, яка підписує делегацію) перевіряє справжність DNSKEY по ланцюжку довіри. NSEC та NSEC3 також забезпечують захист від підробки.

Ланцюжок довіри починається з перевірених відкритих ключів для кореневої зони DNS. Власники доменів створюють власні пари закритих та відкритих ключів і завантажують їх за допомогою панелі керування DNS у реєстратора доменних імен, передаючи ключі через DNSSEC оператору зони, який підписує та публікує їх у DNS. Це дозволяє дозволам захиститися від кешування підроблених або маніпульованих даних DNS та отруєння кешу.

DNSSEC забезпечує дві основні функції безпеки DNS, такі як:

1. Справжність походження даних – дозволяє перетворювачу перевірити, що дані надійшли тільки із запитуваної зони кріогенним способом.
2. Захист цілісності даних – дозволяє тому, хто дає дозвіл, знати, що дані були підписані закритим ключем власника зони і не були змінені при передачі.

Дві вищезгадані функції безпеки дозволяють рекурсивному резолверу знайти будь-які дані та отримати відкритий ключ зони. Він перевіряє автентичність даних, наданих DNS. Резолвер підтверджує відповідність цифрового підпису, і якщо він не відповідає дійсності, вважається, що відбулася кібератака. Дані відкидаються та повертаються як помилка.

Додаткові переваги DNSSEC

Основне завдання DNSSEC - запобігти кібератакам, пов'язаним з заміною DNS, коли користувачі перенаправляються в неправильне місце. Крім того, DNSSEC захищає текстові та поштові записи. Відомо, що DNSSEC також забезпечує завантаження інших систем кібербезпеки, які публікують криптографічні сертифікати, що зберігаються в DNS, такі як відбитки пальців SSH, записи сертифікатів, якір довіри TLS і відкриті ключі IPSEC. На відміну від сертифікатів SSL, DNSSEC не забезпечує конфіденційність даних, оскільки їхня відповідь аутентифікується, але не шифрується. DNSSEC також не захищає від кібератак, таких як DDoS-атаки, оскільки він не може захистити від хибних припущень, а може лише підтвердити справжність даних, чи вони дійсно виходять від власника домену чи ні.

Висновок

DNSSEC є фундаментальною частиною більш широкої безпеки Інтернету, незалежно від того, чи широко вона прийнята чи ні. Вона має бути включена рекурсивними перетворювачами та власниками доменних імен. Користувачі можуть бути впевнені, що під час введення доменного імені вони потраплять у потрібне місце призначення. Отже, саме це робить DNSSEC.