DNSSEC

Vad är DNSSEC (Domain Name Security Extensions)?

DNSSEC är en uppsättning protokoll som adderar ett lager av säkerhet för DNS-uppslagningar. Även om DNSSEC inte kan skydda hur data distribueras eller vem som kan ta del av det så kan man använda DNSSEC för att verifiera ursprunget av data som skickas från en DNS-server, verifiera integriteten av datat och även autentisera icke-existerande DNS-data.

Förstå DNS

För att förstå DNSSEC krävs en grundläggande kunskap om hur domännamn och DNS fungerar. IP-adresser som används av webbplatser är en serie siffor som är separerade av punkter. Detta system är mycket effektivt för datorer att läsa och bearbeta men extremt svårt för människor att komma ihåg. För att lösa detta problem används domännamn som kopplas samman med dessa IP-adresser. Det som kallas i vardagligt tal kallas för webbadress, hemsideadress, internetadress är egentligen domännamn.

Information om domännamn lagras och nås på speciella servrar som kallas DNS-servrar. Man kan se dem som en databas som matchar domännamn till IP-adresser och vice versa.

DNSSEC införs

När DNS en gång i tiden infördes så gjordes det utan något egentligt fokus på säkerhet och ganska snart efter lanseringen upptäcktes flera sårbarheter. Som ett resultat av dettahar ett säkerhetssystem utvecklats i form av tilllägg till det befintliga DNS-protokollet. Detta system har senare granskats och godkänts som en standard av Internet Engineering Task Force ( IETF ) .

Efter flera testinstallationer, med början 2007 har DNSSEC rullades DNSSEC officiellt ut på rotnivå under 2010. Därefter har det skett en kontinuerlig lansering av toppdomäner som inför DNSSEC. För nya toppdomäner som lanseras är det ett krav att de skall stödja DNSSEC redan från början.

Hur fungerar DNSSEC?

Det ursprungliga syftet med DNSSEC var att skydda klienter från falsk DNS-data genom att verifiera digitala signaturer som inbäddas i DNS-uppslagen. Om de digitala signaturerna är korrekta så tillåts paketet och skickas vidare till klienten. Om den digitala signaturen inte matchar så slängs paketet och klienten kommer inte in på den falska hemsidan. DNSSEC används inte för att kryptera datat eftersom. Det innehåller bara de nycklar som krävs för att kunna verifiera hurvida autensiteten av DNS-datat är äkta eller inte.

Implementationen av DNSSEC kräver flera nya typer av DNS-records. Dessa är:

  • DS
  • DNSKEY
  • NSEC
  • RRSIG

Dessa nya poster används för att digitalt signera en domän, med hjälp av en metod som kallas Asymmetrisk kryptering. En DNS-server som stödjer DNSSEC har en publik och en privat nyckel för varje zon. När någon gör en förfrågan skickar den data som signerats med den privata nyckel och mottagaren verifierar den med den publika nyckeln.

RRSIG  är den digitala signaturen och den lagrar nyckelinformation som används för validering av de medföljande uppgifterna . Nyckeln som finns i RRSIG posten matchas mot den publika nyckeln i DNSKEY posten . NSEC posterna, inklusive NSEC , NSEC3 och NSEC3PARAM används sedan som en ytterligare referens att stoppa DNS spoofing försök . DS-posten används för att verifiera nycklar för underdomäner.

Verifiering av DNSSEC-nycklar kräver utgångspunkter som kallas ”trust anchors”. Trust anchors ingår i operativsystem eller annan betrodd programvara. När en nyckel har verifierats genom trust anchor måste den också kontrolleras av den auktoritativa namnservern genom autentiseringskedjan , som består av en serie DS och DNSKEY poster.