DNSSEC

DNSSEC (англ. Domain Name System Security Extensions) — набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Он направлен на предоставление DNS-клиентам (англ. термин resolver) аутентичных ответов на DNS-запросы (или аутентичную информацию о факте отсутствия данных) и обеспечение их целостности. При этом используется криптография с открытым ключом. Не обеспечивается доступность данных и конфиденциальность запросов. Обеспечение безопасности DNS критически важно для интернет-безопасности в целом.


Изначально Domain Name System (DNS) разрабатывался не в целях безопасности, а для создания масштабируемых распределённых систем. Со временем система DNS становится всё более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные серверы и таким образом получают доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен — запись в строке браузера и сам сайт в точности такие, какими их и ожидает увидеть пользователь. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS-данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS-клиент проверяет верность и целостность информации.

DNSSEC не шифрует данные и не изменяет управление ими, являясь совместимой с ранними версиями текущей системы DNS и приложений. DNSSEC может удостоверить и такую информацию, как криптографические сертификаты общего назначения, хранящиеся в CERT record DNS. RFC 4398 описывает, как распределить эти сертификаты, в том числе по электронной почте, что позволяет использовать DNSSEC в качестве глобального распределённого хранилища сертификатов ключей подписи.

DNSSEC не обеспечивает конфиденциальность данных; в частности, все DNSSEC ответы аутентифицированны, но не шифруются. DNSSEC не защищает от DoS-атак непосредственно, хотя в некотором роде делает это косвенно. Другие стандарты (не DNSSEC) используются для обеспечения большого количества данных, пересылаемых между серверами DNS.
article-title

Использование DNSSEC может помочь злоумышленникам в осуществлении DDoS-атак

80% серверов, защищенных DNSSEC, могут использоваться для усиления DDoS-атак.

article-title

Зафиксирована мультивекторная DDoS-атака с использованием DNSSEC

Масштабная атака включала в себя шесть векторов.

article-title

DNSSEC-протокол внедрен в доменную зону .su

Внедрение DNSSEC-протокола в доменную зону .su позволит предотвратить перенаправление трафика на фальшивые web-сайты благодаря использованию цифровых подписей.

article-title

Завершена работа по внедрению протокола безопасности DNSSEC в зону .com

Протокол безопасности DNSSEC постепенно интегрируется во все крупнейшие доменные зоны Сети.

article-title

Доменная зона .info внедряет поддержку DNSSEC

Интернет-компания Afilias, администратор доменной зоны .info, сообщила о развертывании поддержки технологии защищенных доменных имен DNSSEC для домена .info.

article-title

Вышла финальная версия OpenDNSSEC 1.0.0

Программа представляет собой единое расширяемое решение, которое может быть легко интегрировано в существующую систему без необходимости в больших изменениях в инфраструктуре.

article-title

Американские власти хотят контролировать протокол DNSSec

Получение главного, «подписывающего» ключа для корневой зоны DNS позволит властям США прослеживать все запросы DNSSEC вплоть до корневых серверов имён интернета.



Какие зарубежные новостные сайты по информационной безопасности вы читаете?