+36/46-796-827

Címke: dnssec

DNSSEC – A domén nevek őre

Kérdések és válaszok az internetes biztonságról

Amikor domén nevekről esik szó, akkor óhatatlanul felmerül a biztonság kérdése. Nem véletlenül, hiszen a technika fejlődésével az internetes bűnözők egyre rafináltabb módszereket alkalmaznak. Gyakran előfordul, hogy a domén név rendszer (DNS) folyamatába beavatkozva hamisítják a DNS-üzeneteket, ezzel megszerezve a felhasználók adatait, valamint jelszavát. Van azonban megoldás, mégpedig a digitális aláírás. De hogyan is működik ez? Miért van erre szükség? Mostani írásunkban ezekre a kérdésekre keressük a választ.

1) Mindenekelőtt: hogyan történik adott weboldal címének megkeresése?

Maga a folyamat hasonló, mint amikor egy számot keresünk a telefonkönyvben. A DNS olyan tartományt alakít ki, amely a domén neveket számokká alakítja. Ennek alapján tudják a felhasználók megkeresni az adott tartománynév rendeltetési helyét. Mindez azonban szakaszosan, több lépésben történik

  1. Első szint: A Gyökér-zóna (root-zone) a címtárszolgáltatás legmagasabb szintje, ahol a keresőmotor a domén végződéssel kapcsolatos információkat talál. Például a www.google.com használatához a „.com”-ra vonatkozó adatokat.
  2. Második szint: A választ követően a keresőmotor megkérdezi a gyökér által azonosított címtárszolgáltatást. Itt találhatók a google.com információi.
  3. Harmadik szint: Végül, a keresőmotor a .com által azonosított google.com címtárszolgáltatást is lekérdezi.

Ezek a lépések szinte azonnal lezajlanak, amelynek eredményeképpen a keresőmotor a weboldal teljes címét a számítógépre továbbítja. Mindebből a felhasználók tehát csak azt érzékelik, hogy a keresőmotor pillanatok alatt valamilyen honlapra navigálja őket.

2) Miért van szükség digitális aláírásra?

Ahogyan láthattuk, összetett procedúráról van szó. Mármost, minél bonyolultabb egy folyamat, annál nagyobb a valószínűsége annak, hogy valahol – véletlenül vagy szándékosan – hiba kerülhet a rendszerbe.

Nem olyan régen fedezték fel a DNS, vagyis a domén név rendszer sebezhetőségét: az internetes bűnözök ugyanis rendszeresen beleavatkoztak a DNS keresési folyamatba. Olyan módon, hogy hamisították a DNS üzeneteket, átvették a munkamenet vezérlését, így a lekérdezéseket a saját oldalukra irányították. Ebből következően a felhasználók nevét, jelszavát, valamint egyéb személyes adatait tudták megszerezni. vele.

Ma már a technikai fejlődésnek köszönhetően jelentősen csökkenteni lehet ennek kockázatát. Ebben a helyzetben egyetlen megoldás a DNS biztonságának kiterjesztése lehet.

Egyszóval: a digitális aláírásokkal a DNS üzenetek hamisítása ellen tudunk védekezni. Amennyiben egy üzenetet így aláírunk, azzal biztosítjuk arról a felhasználót, illetve a keresőmotort is, hogy aláírásunk az adott honlapról származik, valamint ezen aláíráshoz szükséges titkos kulcs is rendelkezésre áll.

3) Elég egyetlen digitális aláírás egy DNS-rekord hitelesítéséhez?

Ahogyan a korábbiakban már szó volt róla, a DNS-rendszer több lépésből álló folyamat. Pontosan ezért a hitelesítéshez, vagyis az autentikációhoz több digitális aláírás szükséges, amit hitelesítési láncnak nevezünk.

Például, hogyha a www.seoz.hu rekordját akarjuk hitelesíteni, akkor először a seoz.hu domén tulajdonosának titkos kulcsára lesz szükség, amelynek autentikálásához azonban a .hu domén tulajdonosának titkos kulcsa szükséges. A .hu aláírásánál használt kulcsot pedig a gyökér névszerver tulajdonosainak birtokában található kulccsal lehet hitelesíteni. Ennek konfigurálását minden ellenőrző név szerver gazdának el kell végeznie. Összefoglalva, a DNS hierarchia felsőbb szintjei mindegyik érintett helyen digitális aláírással hitelesítik az alacsonyabb szinten használatos kulcsot.

Jelenleg a gyökér névszerverek kezelésének feladatát több szervezet is végzi. Legismertebb a hazai felhasználók számára az ICANN (Internet Corporation for Assigned Names and Numbers), valamint a VeriSign lehet.

4) De akkor mi is az a DNSSEC? Miért van rá szükség?

A DNSSEC olyan technológia, amely a DNS üzenetek digitális aláírására szolgál. Igaz, hogy mindez bonyolultabbá és hosszadalmasabbá teszi a digitális aláírási folyamatot, azonban hatékony eszköznek számít a DNS-támadásokkal szemben. Ahhoz, hogy a honlap internetes sérülékenységét kiküszöböljük – gyökérzónától a végső tartománynévig (pl. www.seoz.hu) – ­ adott lekérdezés minden egyes lépése során telepítenünk kel a DNSSEC-et. Fontos azonban megemlíteni, hogy maga a DNSSEC nem titkosítja az adatokat, mindössze igazolja a felhasználók által meglátogatott webhelyek címének érvényességét.

5) Hogyan javítja a DNSSEC a hétköznapi felhasználói biztonságot?

A DNSSEC teljes körű telepítésével biztosítjuk, hogy a végső felhasználó a tényleges weboldalhoz, vagy egy megadott domén névnek megfelelő szolgáltatáshoz csatlakozzon. Ideális esetben, a helyi DNS-feloldó “DNSSEC validálást” végez, és automatikusan blokkolja azokat a webhelyeket, amelyek hibás DNSSEC aláírások miatt sikertelenek. Igaz, hogy ez nem oldja meg a világháló minden biztonsági problémáját, de megvédi annak kritikus elemét – a weboldal címének megkeresést. Ezzel kiegészítve az olyan technológiákat, mint az SSL (https:), melyek védik a „beszélgetést”, illetve platformot biztosítanak a jelenleg is fejlesztés alatt álló biztonsági újítások számára.

Címke