+36/46-796-827

DNSSEC – A domén nevek őre

Kérdések és válaszok az internetes biztonságról

Amikor domén nevekről esik szó, akkor óhatatlanul felmerül a biztonság kérdése. Nem véletlenül, hiszen a technika fejlődésével az internetes bűnözők egyre rafináltabb módszereket alkalmaznak. Gyakran előfordul, hogy a domén név rendszer (DNS) folyamatába beavatkozva hamisítják a DNS-üzeneteket, ezzel megszerezve a felhasználók adatait, valamint jelszavát. Van azonban megoldás, mégpedig a digitális aláírás. De hogyan is működik ez? Miért van erre szükség? Mostani írásunkban ezekre a kérdésekre keressük a választ.

1) Mindenekelőtt: hogyan történik adott weboldal címének megkeresése?

Maga a folyamat hasonló, mint amikor egy számot keresünk a telefonkönyvben. A DNS olyan tartományt alakít ki, amely a domén neveket számokká alakítja. Ennek alapján tudják a felhasználók megkeresni az adott tartománynév rendeltetési helyét. Mindez azonban szakaszosan, több lépésben történik

  1. Első szint: A Gyökér-zóna (root-zone) a címtárszolgáltatás legmagasabb szintje, ahol a keresőmotor a domén végződéssel kapcsolatos információkat talál. Például a www.google.com használatához a „.com”-ra vonatkozó adatokat.
  2. Második szint: A választ követően a keresőmotor megkérdezi a gyökér által azonosított címtárszolgáltatást. Itt találhatók a google.com információi.
  3. Harmadik szint: Végül, a keresőmotor a .com által azonosított google.com címtárszolgáltatást is lekérdezi.

Ezek a lépések szinte azonnal lezajlanak, amelynek eredményeképpen a keresőmotor a weboldal teljes címét a számítógépre továbbítja. Mindebből a felhasználók tehát csak azt érzékelik, hogy a keresőmotor pillanatok alatt valamilyen honlapra navigálja őket.

2) Miért van szükség digitális aláírásra?

Ahogyan láthattuk, összetett procedúráról van szó. Mármost, minél bonyolultabb egy folyamat, annál nagyobb a valószínűsége annak, hogy valahol – véletlenül vagy szándékosan – hiba kerülhet a rendszerbe.

Nem olyan régen fedezték fel a DNS, vagyis a domén név rendszer sebezhetőségét: az internetes bűnözök ugyanis rendszeresen beleavatkoztak a DNS keresési folyamatba. Olyan módon, hogy hamisították a DNS üzeneteket, átvették a munkamenet vezérlését, így a lekérdezéseket a saját oldalukra irányították. Ebből következően a felhasználók nevét, jelszavát, valamint egyéb személyes adatait tudták megszerezni. vele.

Ma már a technikai fejlődésnek köszönhetően jelentősen csökkenteni lehet ennek kockázatát. Ebben a helyzetben egyetlen megoldás a DNS biztonságának kiterjesztése lehet.

Egyszóval: a digitális aláírásokkal a DNS üzenetek hamisítása ellen tudunk védekezni. Amennyiben egy üzenetet így aláírunk, azzal biztosítjuk arról a felhasználót, illetve a keresőmotort is, hogy aláírásunk az adott honlapról származik, valamint ezen aláíráshoz szükséges titkos kulcs is rendelkezésre áll.

3) Elég egyetlen digitális aláírás egy DNS-rekord hitelesítéséhez?

Ahogyan a korábbiakban már szó volt róla, a DNS-rendszer több lépésből álló folyamat. Pontosan ezért a hitelesítéshez, vagyis az autentikációhoz több digitális aláírás szükséges, amit hitelesítési láncnak nevezünk.

Például, hogyha a www.seoz.hu rekordját akarjuk hitelesíteni, akkor először a seoz.hu domén tulajdonosának titkos kulcsára lesz szükség, amelynek autentikálásához azonban a .hu domén tulajdonosának titkos kulcsa szükséges. A .hu aláírásánál használt kulcsot pedig a gyökér névszerver tulajdonosainak birtokában található kulccsal lehet hitelesíteni. Ennek konfigurálását minden ellenőrző név szerver gazdának el kell végeznie. Összefoglalva, a DNS hierarchia felsőbb szintjei mindegyik érintett helyen digitális aláírással hitelesítik az alacsonyabb szinten használatos kulcsot.

Jelenleg a gyökér névszerverek kezelésének feladatát több szervezet is végzi. Legismertebb a hazai felhasználók számára az ICANN (Internet Corporation for Assigned Names and Numbers), valamint a VeriSign lehet.

4) De akkor mi is az a DNSSEC? Miért van rá szükség?

A DNSSEC olyan technológia, amely a DNS üzenetek digitális aláírására szolgál. Igaz, hogy mindez bonyolultabbá és hosszadalmasabbá teszi a digitális aláírási folyamatot, azonban hatékony eszköznek számít a DNS-támadásokkal szemben. Ahhoz, hogy a honlap internetes sérülékenységét kiküszöböljük – gyökérzónától a végső tartománynévig (pl. www.seoz.hu) – ­ adott lekérdezés minden egyes lépése során telepítenünk kel a DNSSEC-et. Fontos azonban megemlíteni, hogy maga a DNSSEC nem titkosítja az adatokat, mindössze igazolja a felhasználók által meglátogatott webhelyek címének érvényességét.

5) Hogyan javítja a DNSSEC a hétköznapi felhasználói biztonságot?

A DNSSEC teljes körű telepítésével biztosítjuk, hogy a végső felhasználó a tényleges weboldalhoz, vagy egy megadott domén névnek megfelelő szolgáltatáshoz csatlakozzon. Ideális esetben, a helyi DNS-feloldó “DNSSEC validálást” végez, és automatikusan blokkolja azokat a webhelyeket, amelyek hibás DNSSEC aláírások miatt sikertelenek. Igaz, hogy ez nem oldja meg a világháló minden biztonsági problémáját, de megvédi annak kritikus elemét – a weboldal címének megkeresést. Ezzel kiegészítve az olyan technológiákat, mint az SSL (https:), melyek védik a „beszélgetést”, illetve platformot biztosítanak a jelenleg is fejlesztés alatt álló biztonsági újítások számára.

Oszd ezt meg barátaiddal!

További hasonló cikk
google-20-years
A google.com már 20 éves

A világ legnagyobb keresője és leglátogatottabb weboldala a Google.com immár 20 éves kornak örvendezhet. Pontosan 1997.09.15.-én lett beregisztrálva. Igaz, hogy a Google Inc. vállalat csak 1998 szeptemberében alakult, de a domain nevet már ez előtt sikeresen megigényelték. Ugyan hazánkban a google.hu oldalt használjuk, az sincs sokkal lemaradva, ugyanis már ez a domain név is lassacskán […]

Tovább
.hu domain regisztráció
Az INDEX.HU megtámadta a trustindex.hu domain delegálását

A trustindex.hu domain nevet a TRADEWELL Bt. (Panaszos) kérte, mely ellen az INDEX.HU Informatikai Zrt. (Panaszos) nyújtott be kifogás. Az INDEX.HU kifogását a Tanácsadó Testület egységes igennel elutasította. A Panaszos védjegybitorlásra és megtéveszthetőségre hivatkozva kérte a Panaszos részére történő domain név delegálásának megtagadását. A Panaszolt kifejtette, hogy szerinte az domain név nem összetéveszthet az INDEX […]

Tovább
A gas.hu domain név regisztrációját elutasította a Nyilvántartó

A gas.hu domain nevet a Marco Polo Magyarország Kft. kérte magának, de a Nyilvántartó az igénylését elutasította. Az igénylő érveiben elmondta, hogy a gas szó angolul gázt jelent így nem veszélyezteti vagy sérti más bárki névkizárólagosságát. Annak ellenére, hogy a Gas szó bejegyzett védjegy, álláspontja szerint nem zárja ki a domain regisztrációját, ugyanis a jogosult […]

Tovább