Questo articolo presuppone che tu abbia esaminato Cos'è il DNS e come funziona? Il Domain Name System (DNS) è un elemento critico del sistema Internet. In parole povere, senza DNS, non c'è Internet. Ma inizialmente il DNS è stato sviluppato senza molta sicurezza. Ad esempio, il DNS è vulnerabile al DNS Cache Poisoning (attacchi DNS Spoofing); dove un utente malintenzionato può iniettare alcune voci non valide nel sistema DNS debole e questi dati falsi possono essere utilizzati per reindirizzare il traffico Web a siti falsi (ulteriori informazioni sull'avvelenamento della cache DNS e su come può influire su Internet). Oltre allo spoofing DNS, il sistema DNS è anche vulnerabile agli attacchi DDOS e man in the middle.
Per risolvere i problemi di sicurezza del DNS, è stata introdotta l'estensione DNSSEC (Domain Name System Security Extension). DNSSEC non è stato progettato per porre fine ai suddetti attacchi, ma per garantire che siano rilevabili dall'utente finale o dal risolutore (Resolver abilitato alla sicurezza). Significa che il risolutore sensibile alla sicurezza sarà in grado di convalidare la risposta ricevuta dal server DNS e identificare se le informazioni sono corrette o meno.
La distribuzione di DNSSEC non è un lavoro facile, sebbene l'implementazione lo sia. Implica che i proprietari di zone come .net, .com, .edu, .in ecc. debbano implementare DNSSEC per le loro zone. Non si ferma qui, le varie organizzazioni, istituzioni, provider di servizi Internet (ISP) devono implementare DNSSEC nei propri server DNS. E infine, la fine deve sicuramente fare qualcosa; aggiorna i loro risolutori per comprendere il protocollo DNSSEC e aggiungi alcune chiavi affidabili. Queste chiavi attendibili sono chiamate chiavi ancorate, che dovrebbero essere configurate nel risolutore. Se tutto questo viene fatto, l'utente finale (come me e te) sarà in grado di rilevare gli attacchi.
DNSSEC fornisce l'autenticazione dell'origine dei dati e la protezione dell'integrità dei dati al DNS. Utilizza la crittografia a chiave pubblica come Secure Shell (SSH) e Internet Protocol Security (IPSec).
Tecnicamente DNSSEC…
DNSSEC aggiunge natura criptografica al Domain Name System (DNS) esistente per garantire l'autenticità e l'integrità della risposta DNS. Quando ho detto la natura critografica, significa che le firme crittografiche sono pubblicate per i record A in DNS. Ad esempio, RRSIG (Resource Record Signature) pubblicato per un record A, l'organizzazione di origine consente ai risolutori di verificare che il record A ricevuto sia autentico e corretto.
Permettetemi di chiedere aiuto a CISCO , dove la funzionalità DNSSEC è stata spiegata come di seguito,
“Un computer client con un risolutore stub incorporato imposta il bit DNSSEC OK (DO) su 1 nelle query in uscita quando desidera utilizzare DNSSEC per verificare l'autenticità delle informazioni DNS. Quando un server DNS abilitato DNSSEC riceve una query con DO=1, utilizza i record RRSIG archiviati o ricevuti localmente per verificare crittograficamente l'autenticità delle informazioni DNS. Il risultato della verifica viene comunicato allo stub resolver utilizzando il bit Authenticated Data (AD) nella risposta DNS; dove AD=1 indica che i dati DNS sono autentici e AD=0 indica che la verifica DNSSEC non è riuscita ” – Crediti:CISCO
Qual è la differenza tra DNS e DNSSEC?
Come ho detto in precedenza, DNSSEC è un'estensione di sicurezza del DNS esistente. Significa che DNS può vivere senza DNSSEC (ovviamente con poche vulnerabilità), ma DNSSEC non può esistere senza DNS.
Un'altra differenza principale è la dimensione dei record. Le dimensioni dei messaggi DNSSEC sono maggiori dei messaggi DNS (senza DNSSEC abilitato). Perché DNSSEC trasporterà flag come DO, AD e altri flag di intestazione relativi a DNSSEC.
Ora sai cos'è DNSSEC e perché è importante abilitarlo sul tuo DNS. Vediamo come distribuire DNSSEC nel tuo sistema DNS esistente nei prossimi giorni.
LEGGI:Come impostare DNSSEC su Bind?
LEGGI:Come identificare un dominio che è firmato DNSSEC o meno?