23 min. lasīt

DNSSEC: Definīcija, kā tas darbojas un kāpēc tas ir svarīgi?

Domēna vārdu sistēma DNS kalpo kā interneta tālruņu grāmata, miljardiem reižu dienā pārtulkojot cilvēka lasāmus vārdus par IP adresēm. DNS datubāzē tiek glabāti svarīgi DNS ieraksti, piemēram, IP adreses un domēna aizstājvārdi, tāpēc tā ir kibernoziegumu mērķis. Taču šī kritiski svarīgā infrastruktūra tika izstrādāta pagājušā gadsimta 80. gados bez iebūvētas drošības. Tradicionālā DNS validācija balstījās uz vienas un tās pašas IP adreses atbilstību atbildēm, kas ir nedroša, jo IP adreses var viltot. DNSSEC ir izveidots, lai novērstu šo būtisko trūkumu, pievienojot kriptogrāfisku pārbaudi sistēmai, kas sākotnēji darbojās tikai uz uzticības pamata.

DNSSEC īsumā

Domēna vārdu sistēmas drošības paplašinājumi, ko parasti dēvē par DNSSEC, apzīmē DNS drošības paplašinājumus un ir IETF protokola specifikāciju kopums, kas DNS datiem pievieno kriptogrāfiskos parakstus. Šie paraksti ļauj DNS resolveriem pārbaudīt, vai saņemtā informācija patiešām ir saņemta no autoritatīvā avota un vai tā pa ceļam nav tikusi viltota.

DNSSEC atrisina galveno problēmu, kas ir vienkārša: bez tā uzbrucēji var ievadīt viltotas DNS atbildes resolveru kešatmiņā. Šis uzbrukums, kas pazīstams kā DNS kešatmiņas saindēšana, novirza lietotājus uz ļaunprātīgām vietnēm bez viņu ziņas. DNSSEC novērš šo problēmu, nodrošinot datu izcelsmes autentificēšanu un nodrošinot DNS ierakstu integritāti ar digitālo parakstu palīdzību, izmantojot publisko atslēgu kriptogrāfiju un pieprasot rūpīgu DNS zonas atslēgu pārvaldību, lai novērstu personifikāciju un datu viltošanu.

Interneta inženierijas darba grupa (IETF) 2000. gadu sākumā standartizēja DNSSEC, izmantojot vairākus RFC, tostarp RFC 4033, 4034 un 4035. Galvenais ieviešanas pavērsiens bija 2010. gada jūlijs, kad ICANN parakstīja DNS saknes zonu, izveidojot globālu uzticamības enkuru, kas ļāva praktiski ieviest DNSSEC visā pasaulē.

Ir svarīgi saprast, ko DNSSEC dara un ko nedara. DNSSEC autentificē DNS datus – apstiprina,ka A, AAAA, MX un TXT ieraksti ir īsti un nemodificēti. Tomēr tas nešifrē DNS vaicājumus vai atbildes. Jūsu DNS datplūsma paliek redzama ikvienam, kas to var novērot. Šifrēšanai ir nepieciešami papildu protokoli, piemēram, DNS over TLS vai DNS over HTTPS.

DNSSEC arī nenovērš visus uzbrukumus DNS infrastruktūrai. Neskatoties uz parakstīšanu, apjomīgi DDoS uzbrukumi joprojām var pārslogot DNS serverus. Un DNSSEC nevar atturēt lietotājus no likumīgi reģistrētu pikšķerēšanas domēnu apmeklēšanas, kas izskatās pārliecinoši.

DNSSEC īstenošana var būt sarežģīta, jo ir nepieciešama atslēgu pārvaldība un uzticamības ķēdes izveide. Lai DNSSEC ieviešana būtu sekmīga, ir nepieciešams, lai arī vecākā zona un visas ķēdes zonas būtu parakstītas.

Pašlaik lielākā daļa augstākā līmeņa domēnu atbalsta DNSSEC – saskaņā ar ICANN datiem vairāk nekā 1400 TLD ir parakstīti. Tomēr otrā līmeņa domēnu ieviešana liecina par ko citu. Tikai aptuveni 1-2 % .com zonu ir aktivizēts DNSSEC, savukārt valstu kodu TLD, piemēram, .nl (Nīderlande) un .se (Zviedrija), parakstīšanas rādītāji pārsniedz 90 %, jo ir spēkā obligāta politika.

Kāpēc jums tas būtu svarīgi? Jo bez DNSSEC ikviens DNS vaicājums, ko veic jūsu organizācija, ir neaizsargāts pret klusām manipulācijām. Uzbrucējs, kas saindē jūsu atrisinātāja kešatmiņu, var novirzīt jūsu darbiniekus uz vietnēm, kas ievāc akreditācijas datus, vai pārtvert e-pasta piegādi – un tas viss var notikt, neizsaucot nekādus acīmredzamus brīdinājumus.

Kā DNS un DNSSEC sader kopā

Pirms padziļinātas DNSSEC izpētes īsi atgādināsim, kā šodien darbojas domēna vārdu sistēma. Kad pārlūkprogrammā ievadāt URL, datora cilmes resolveris sazinās ar rekursīvo DNS resolveri – bieži vien tonodrošina jūsu interneta pakalpojumu sniedzējs, uzņēmuma tīkls vai publisks pakalpojums, piemēram, Google 8.8.8.8.8 vai Cloudflare 1.1.1.1.1. DNS resolveris apstrādā DNS vaicājumus, sekojot serveru ķēdei, lai iegūtu pareizo IP adresi, tādējādi nodrošinot efektīvu un precīzu izšķiršanu.

Apsveriet iespēju atrisināt www.example.com. DNS rekursīvais DNS resolveris vispirms pieprasa informāciju par .com un uzdod jautājumu vienam no 13 loģiskajiem DNS nosaukumu serveriem. Saknes serveris atbild ar norādi uz Verisign pārvaldītajiem TLD .com serveriem. Pēc tam resolveris .com serveriem jautā par example.com un saņem vēl vienu norādi uz example.com autoritatīvo nosaukumu serveri. Visbeidzot, resolveris jautā šim autoritatīvajam serverim un saņem faktisko A ierakstu, kurā ir www.example.com IP adrese.

Šajā hierarhiskajā sistēmā dažādi DNS komponenti, piemēram, resursu ieraksti, autoritatīvie nosaukumu serveri un zonas parakstīšanas atslēgas, sadarbojas, lai pārvaldītu, kontrolētu un aizsargātu katru DNS zonu.

Šī elegantā hierarhiskā sistēma tika definēta RFC 1034 un 1035 jau 1987. gadā. Problēma? Klasiskais DNS protokols tika izstrādāts bez spēcīgas autentifikācijas. Atbildes galvenokārt tika apstiprinātas, salīdzinot avota IP adreses un 16 bitu darījumu ID –sistēmu, kouzbrucēji iemācījās izmantot.

Kaminska 2008. gada ievainojamība parādīja, cik neaizsargāts bija šis dizains. Drošības pētnieks Dan Kaminsky parādīja, ka uzbrucēji ar lielu varbūtību var ievadīt viltotas atbildes resolveru kešatmiņā, veicot uzpludināšanu ar uzminējumiem viena pieprasījuma loga laikā. Šī atklāšana izraisīja ārkārtas labojumus visā nozarē un ievērojami paātrināja DNSSEC ieviešanu visā pasaulē.

DNSSEC integrējas kā paplašinājuma slānis, kas aptver esošo DNS, nemainot galveno vaicājuma/atbildes modeli. Neparakstītas zonas turpina normāli darboties ar resolveriem, kas nav validēti. Validējošie resolveri vienkārši veic papildu kriptogrāfiskās pārbaudes parakstītajām zonām. Šī atpakaļejošā savietojamība bija ļoti svarīga, lai pakāpeniski ieviestu DNS nosaukumu telpu.

Abstrakts attēls, kurā attēlots globāls tīkls ar savstarpēji savienotiem mezgliem, pārklāts ar drošības vairogiem, kas simbolizē DNS datu aizsardzību. Šis vizuālais attēlojums uzsver DNS drošības un DNSSEC validācijas nozīmi aizsardzībā pret tādiem draudiem kā DNS viltošana un kešatmiņas saindēšana.

DNSSEC pamatjēdzieni un ierakstu veidi

DNSSEC ievieš vairākus jaunus DNS resursu ierakstu veidus, kas darbojas kopā, lai izveidotu pārbaudāmu uzticamības ķēdi. Izpratne par šiem ierakstiem un to attiecībām ir būtiska ikvienam, kas strādā ar parakstītajām zonām.

DNSSEC pamatvienība ir resursu ierakstu kopa jeb RRSet. Tas ir DNS ierakstu grupējums, kam ir vienāds nosaukums, tips un klase. Tā vietā, lai parakstītu atsevišķus ierakstus, DNSSEC paraksta veselus RRSetus. Šāda pieeja nodrošina atomāro integritāti – nav iespējams manipulēt ar vienu ierakstu kopā, neizjaucot visu ierakstu parakstu.

RRSIG ieraksts satur digitālo parakstu, kas attiecas uz RRSet. Katrs resursu ieraksta paraksts, kas izveidots, izmantojot zonas privāto atslēgu, ietver metadatus, piemēram, parakstītāja vārdu, derīguma termiņu un izmantoto algoritmu. Atrisinātāji pārbauda šos parakstus, pārrēķinot RRSet datu hash un salīdzinot to ar kriptogrāfisko parakstu.

DNSKEY ierakstā tiek publicēta publiskā atslēga, ko izmanto parakstu verifikācijai. Šie ieraksti parādās zonas virsotnē (piemēram, example.com.) un ietver karodziņus, kas norāda atslēgas lomu. 256 karodziņa vērtība norāda uz zonas parakstīšanas atslēgu, bet 257 – uz atslēgas parakstīšanas atslēgu.

DS ieraksts jeb delegācijas parakstītāja ieraksts veido saiti starp mātes un pakārtoto zonu. Tas tiek glabāts vecākajā zonā un satur atvasinātās zonas publiskās atslēgas kriptogrāfisko hash. Piemēram, example.com DS ieraksts tiek glabāts zonā .com, ļaujot resolveriem pārbaudīt, vai example.com DNSKEY ieraksts ir autentisks. Katras zonas publisko atslēgu paraksta tās mātes zonas privātā atslēga, kas ir būtiska DNSSEC uzticamības ķēdes izveidei. Šis process nodrošina, ka uzticība tiek nodota no vecākās zonas uz pakārtoto zonu, veidojot drošu un pārbaudāmu hierarhiju.

NSEC un NSEC3 ieraksti ļauj autentificēti noliegt eksistenci. Kad DNS vaicājumā tiek pieprasīts nosaukums, kas neeksistē, šie ieraksti pierāda, ka šis nosaukums patiešām nepastāv, tādējādi novēršot uzbrucēju iespējas apgalvot, ka neeksistējoši nosaukumi ir īsti. NSEC sakārto esošos vārdus sakārtotā secībā, savukārt NSEC3 izmanto kriptogrāfiski kodētus ierakstu vārdus, lai novērstu zonas satura vieglu uzskaitīšanu.

CDS un CDNSKEY ieraksti atbalsta automatizētu atslēgu pārvaldību. Tie ļauj pakārtotajām zonām signalizēt par atjauninātu DS vai DNSKEY informāciju mātes zonām, tādējādi samazinot tradicionāli nepieciešamo manuālo koordināciju ar reģistratūrām.

Īpaša uzmanība jāpievērš zonas parakstīšanas atslēgas (ZSK) un atslēgas parakstīšanas atslēgas (KSK) nodalīšanai. ZSK paraksta parastos zonas datus (A, AAAA, MX ierakstus), bet KSK paraksta tikai pašu DNSKEY RRSet. Šāda nodalīšana ļauj operatoriem bieži rotēt ZSK, vienlaikus saglabājot stabilāku KSK un ar to saistīto DS ierakstu mātes zonā nemainītu.

Vārdu sistēmas drošības paplašinājumi

Vārdu sistēmas drošības paplašinājumi (NSSE) ir visaptverošs protokolu un standartu kopums, kas paredzēts domēna vārdu sistēmas (DNS) drošības stiprināšanai. NSSE pamatā ir DNSSEC, kas izmanto digitālos parakstus un publisko atslēgu kriptogrāfiju, lai autentificētu DNS datus un garantētu to integritāti. Šo sistēmas drošības paplašinājumu galvenais mērķis ir aizsargāties pret tādiem draudiem kā DNS spoofing un DNS cache poisoning – uzbrukumiem,kas var manipulēt ar DNS datiem un novirzīt lietotājus uz krāpnieciskām vietnēm.

Izmantojot nosaukumu sistēmas drošības paplašinājumus, domēnu īpašnieki var nodrošināt, ka ar viņu domēniem saistītie DNS dati ir autentiski un nemainīti, kad tie ceļo pa internetu. Tas tiek panākts, izmantojot publiskās atslēgas infrastruktūru, kurā katra parakstītā zona publicē publisko atslēgu, ko resolveri izmanto DNS ierakstu digitālo parakstu pārbaudei. Tādējādi lietotāji un lietojumprogrammas var uzticēties, ka informācija, ko tie saņem no domēna vārdu sistēmas, ir likumīga, palīdzot saglabāt lietotāju uzticību un aizsargāt pret dažādiem kiberapdraudējumiem.

Kā DNSSEC validācija darbojas no gala līdz galam

DNSSEC validācija notiek pēc DNS izšķirtspējas ceļa, veicot verifikāciju no zināma sākuma punkta, ko sauc par uzticamības enkuru. Lielākajai daļai resolveru šis enkurs ir saknes zonas KSK, kas tiek izplatīts ar IANA un resolveru programmatūras atjauninājumu starpniecību. Kad validējošais rekursīvais resolveris apstrādā pieprasījumu par parakstītu domēnu, tas veic kriptogrāfisku verifikāciju katrā DNS hierarhijas pakāpē. Atšķiršanas serveris jau uzticas saknes DNSKEY. Izmantojot šo atslēgu, tas pārbauda saknes zonas RRSIG, kas aptver TLD (piemēram, .com) DS ierakstu. Pēc tam tas iegūst .com DNSKEY un pārbauda, vai tas atbilst DS hešam. Šis process turpinās līdz mērķa domēnam.

Apsveriet iespēju veikt vaicājumu www.example.com pilnībā parakstītā vidē. Risinātājs pārbauda:

Saknes DNSKEY (uzticams enkurs) paraksta .com DS ierakstu
.com DNSKEY atbilst DS hash un paraksta example.com DS ierakstu.
example.com DNSKEY atbilst tā DS un paraksta A ierakstu www

Tādējādi tiek izveidota nepārtraukta uzticības ķēde no saknes līdz pieprasītajam DNS ierakstam. Jebkura neatbilstība – nederīgs paraksts, nederīgs RRSIG vai DS/DNSKEY hash kļūme – pārtrauc ķēdi.

Apstiprināšanas kļūdas var novērot, izmantojot tādus testa domēnus kā dnssec-failed.org, ko ICANN ir apzināti nepareizi konfigurējusi. Validācijas resolveri šim domēnam atgriež SERVFAIL, pilnībā bloķējot piekļuvi. Lietotājiem, kas izmanto neapstiprinātus resolverus (joprojām aptuveni 70 % visā pasaulē), domēns tiek atrisināts normāli – tas liecina par pašreizējās izvietošanas nepilnībām.

DNSSEC nemaina lietojumprotokolus, piemēram, HTTP vai SMTP. Tas vienkārši nodrošina, ka IP adrese un citi DNS dati, ko saņem lietojumprogrammas, ir autentiski un nemodificēti. Pārlūkprogramma joprojām normāli izveido HTTPS savienojumu; DNSSEC tikai garantē, ka DNS vaicājumu atbildes ir vērstas uz likumīgu serveri.

Autentificēta eksistences nolieguma gadījumā NSEC vai NSEC3 ieraksti pierāda, ka pieprasītais vārds vai tips neeksistē. Izšķīrējs saņem kriptogrāfiski parakstītu pierādījumu, kurā norādīts, kuri vārdi zonā pastāv, un tas ļauj tam apstiprināt, kurā vietā parādās pieprasītais vārds.

DNSSEC resursu ieraksti praksē

Aplūkosim galvenos ar DNSSEC saistītos DNS ierakstu veidus sīkāk.

RRSIG ieraksti tiek ģenerēti, izmantojot zonas privāto atslēgu – parasti parasto ierakstu gadījumā tas ir ZSK. Katrā parakstā ir norādīts parakstīšanas algoritms (piemēram, ECDSAP256SHA256), parakstītā nosaukuma zīmju skaits, sākotnējais TTL un sākuma/beigu derīguma laika zīmogi. Šie laika zīmogi ir ļoti svarīgi: resolveri noraida parakstus ārpus to derīguma perioda, kas parasti ir 30 dienas. Zonu operatoriem ir jāatsakās no ierakstiem pirms derīguma termiņa beigām, lai izvairītos no validācijas kļūdām.

DNSKEY ieraksti parādās zonas virsotnē un var saturēt vairākus atslēgas atslēgvārdus pāriešanas periodos. Atšķir atslēgas lomas: 257 apzīmē KSK ar iestatītu SEP (Secure Entry Point) bitu, bet 256 apzīmē ZSK. Atslēgas birka – 16 bitu identifikators, kas aprēķināts no atslēgas datiem – palīdz resolveriem ātri saskaņot DNSKEY ierakstus ar atbilstošajiem DS ierakstiem.

DS ieraksti mātes zonā satur atvasinātās zonas KSK hash. Tipisks DS ieraksts ietver atslēgas tagu, algoritma numuru, digest veidu (parasti SHA-256) un pašu digest. DNSSEC validēšanas laikā resolveri iegūst bērna DNSKEY, aprēķina hash un salīdzina. Neatbilstības gadījumā tiek iegūts BOGUS statuss, kas izraisa validācijas neveiksmi.

NSEC ieraksti ķēdes veidā sakārto zonas nosaukumus kanoniskā sakārtotā secībā. Katrs NSEC norāda uz nākamo esošo nosaukumu un uzskaita ierakstu tipus, kas atrodas pie šī nosaukuma. Tas pierāda neeksistenci, bet pakļauj zonas saturu “zonas pastaigām” – uzbrucēji var uzskaitīt katru nosaukumu, sekojot ķēdei.

NSEC3 risina zonu pastaigas problēmu, pirms ķēžu savienošanas izmantojot nosaukumu hashēšanu ar sāli un iterāciju skaitu. Lai gan tas novērš triviālu uzskaitīšanu, apņēmīgi uzbrucēji joprojām var uzlauzt paredzamus nosaukumus bezsaistē. Atteikšanās karodziņš atļauj neparakstītas delegācijas citādi parakstītās zonās, kas noder lielās zonās ar daudziem neparakstītiem apakšdomēniem.

CDS un CDNSKEY ieraksti atspoguļo DS un DNSKEY formātus, bet tiek publicēti pašā pakārtotajā zonā. Vecākās zonas operatori var aptaujāt šos ierakstus, lai automātiski atjauninātu delegācijas parakstītāja ierakstus, racionalizējot atslēgu pārnešanu un sākotnējo DNSSEC ieviešanu.

DNS ierakstu grupēšana

DNSSEC īstenošanas pamataspekts ir DNS ierakstu grupēšana resursu ierakstu kopās (RRSets). RRSet ir DNS ierakstu kopums, kam zonā ir vienāds nosaukums un tips. Tā vietā, lai parakstītu katru ierakstu atsevišķi, DNSSEC paraksta visu RRS kopumu ar vienu RRSIG ierakstu. Šī pieeja racionalizē DNS datu parakstīšanas un validēšanas procesu, padarot to efektīvāku gan domēnu īpašniekiem, gan validēšanas resolveriem.

DNS ierakstu grupēšana RRSetos ne tikai vienkāršo DNSSEC ieviešanu, bet arī uzlabo DNS infrastruktūras pārvaldības iespējas. Ja tiek veiktas izmaiņas jebkurā RRSet ierakstā, viss komplekts tiek parakstīts no jauna, tādējādi nodrošinot, ka tiek saglabāta visu saistīto DNS datu integritāte un autentiskums. Domēnu īpašniekiem tas nozīmē, ka parakstu pārvaldība ir mazāk sarežģīta, un tā ir spēcīgāka aizsardzība pret DNS ierakstu viltošanu vai nesankcionētām izmaiņām. Visbeidzot, DNS ierakstu grupēšana ir labākā prakse, kas veicina modernās DNS infrastruktūras mērogojamību un drošību.

Zonas parakstīšanas atslēga, parakstīšanas režīmi un atslēgas pārvaldība

DDNSSEC atslēgu pārvaldībā ir divas atšķirīgas lomas. Zonas parakstīšanas atslēga (ZSK ) ikdienā veic zonas datu – A, AAAA, MX, TXT un citu parasto ierakstu parakstīšanu. Atslēgas parakstīšanas atslēga (KSK) pilda ierobežotāku, bet ļoti svarīgu funkciju: tā paraksta tikai DNSKEY RRSet, veidojot uzticamu saiti ar mātes zonas DS ierakstu.

Operatori pamatotu iemeslu dēļ šīs lomas nodala. ZSK privātā atslēga tiek izmantota bieži un ir pakļauta lielākam riskam, tāpēc tās rotācija ik pēc 30-90 dienām ierobežo iespējamos kompromitēšanas radītos zaudējumus. KSK mainās reti – reizi gadāvai retāk -, jokatrai rotācijai ir jāatjaunina DS ieraksts mātes zonā, kas parasti ietver reģistratora koordināciju.

DNSSEC īstenošanai ir trīs galvenie parakstīšanas režīmi:

Parakstīšana bezsaistē: Zonu paraksta ar gaisa aizsargu aprīkotā datorā vai HSM, pēc tam parakstītais zonas fails tiek pārsūtīts uz autoritatīvajiem serveriem. Vislabāk piemērots statiskām zonām, kur drošība ir svarīgāka par darbības ērtībām.
Centralizēta parakstīšana tiešsaistē: Pirms izplatīšanas autoritatīvajiem DNS serveriem tos saņem un paraksta īpašs parakstīšanas pakalpojums. Drošības un dinamisko atjauninājumu atbalsta līdzsvars.
Parakstīšana “on-the-fly”: Autoritatīvie serveri ģenerē DNSSEC parakstus reāllaikā, kad pienāk DNS pieprasījumi. Piemērots ļoti dinamiskām zonām, bet palielina atslēgu izmantošanas risku, ja serveri tiek kompromitēti.

Lai izvairītos no uzticības ķēdes pārrāvuma, atslēgas apvēršanai ir nepieciešams rūpīgi plānot laiku. Standarta pieeja iepriekš publicē jaunas atslēgas: pievieno jauno atslēgu DNSKEY RRSet, pagaida, kamēr beidzas kešatmiņas termiņš (parasti divi TTL periodi), un pēc tam izņem veco atslēgu. Pirms vecās KSK noņemšanas KSK atjaunošanas jaunais DS ir jāizplata arī mātes zonā.

2018. gada sakņu KSK apgāšanās ilustrēja likmes. Neraugoties uz plašiem sagatavošanās pasākumiem, aptuveni 0,3 % resolveru neizdevās atjaunināt savus uzticības enkurus, un uz laiku tika saņemtas atbildes SERVFAIL. Attiecībā uz vienu zonu šādas kļūdas var šķist nenozīmīgas, tačutās efektīvi izslēdz domēnu no tīkla ietekmētajiem lietotājiem.

Deleģēšanas parakstītājs

Deleģēšanas parakstītāja (DS) ieraksts ir DNSSEC uzticamības ķēdes stūrakmens, kas DNS hierarhijā saista pakārtotās zonas drošību ar tās vecāko zonu. DS ierakstā ir kriptogrāfiski hashēta pakārtotās zonas atslēgas parakstīšanas atslēgas (KSK) versija, un tā tiek publicēta mātes zonā. Tas ļauj rekursīvajiem resolveriem pārbaudīt, vai DNSKEY ieraksts, ko uzrāda pakārtotā zona, ir autentisks un nav viltots.

Izveidojot šo savienojumu, DS ieraksts ļauj domēna īpašniekiem paplašināt uzticēšanos no vecākās zonas līdz saviem DNS datiem, nodrošinot, ka katrs izšķiršanas procesa solis ir apstiprināts. Šis mehānisms ir būtisks visas DNS infrastruktūras integritātes saglabāšanai, jo tas neļauj uzbrucējiem jebkurā ķēdes posmā ievadīt viltotus DNS datus. Domēnu īpašniekiem pareiza delegācijas parakstītāja ierakstu konfigurēšana ir būtisks solis DNSSEC ieviešanā un domēnu aizsardzībā pret DNS uzbrukumiem.

DNSSEC priekšrocības un ierobežojumi

DNSSEC galvenā vērtība ir aizsardzība pret DNS kešatmiņas saindēšanu un DNS spoofing uzbrukumiem. Kriptogrāfiski pierādot atbildes autentiskumu, tas neļauj uzbrucējiem klusi novirzīt lietotājus uz pikšķerēšanas vietnēm vai pārtvert e-pastu, izmantojot viltus MX ierakstus. Kaminsky ievainojamība 2008. gadā parādīja, cik postoši var būt šādi uzbrukumi; DNSSEC padara tos neefektīvus pret parakstītām zonām.

Papildus pamata aizsardzībai DNSSEC ļauj izmantot uzlabotas drošības lietojumprogrammas. DANE (DNS-Based Authentication of Named Entities) ļauj domēnu īpašniekiem publicēt TLS sertifikātu informāciju tieši DNS, izmantojot TLSA ierakstus. Tādējādi var pārbaudīt SMTP serveru vai tīmekļa pakalpojumu sertifikātus, nepaļaujoties tikai uz tradicionālajām sertifikātu iestādēm. Šādām lietojumprogrammām ir nepieciešami autentificēti DNS dati – tieši to nodrošina DNSSEC.

Tikpat svarīgi ir saprast arī ierobežojumus:

Konfidencialitātes nav: DNSSEC autentificē, bet nešifrē. DNS vaicājumi un DNS vaicājumu atbildes paliek redzamas novērotājiem. Šifrēšanai nepieciešams DNS, izmantojot TLS vai DNS, izmantojot HTTPS.
Nav DDoS aizsardzības: DNSSEC nevar apturēt apjomīgus uzbrukumus DNS infrastruktūrai. Patiesībā lielākas parakstītas atbildes var potenciāli pasliktināt pastiprināšanas uzbrukumus.
Nav aizsardzības pret leģitīmiem draudiem: DNSSEC nevar novērst typosquatting vai lietotāju uzticēšanos maldinošiem domēna vārdiem, kas ir likumīgi reģistrēti un pareizi parakstīti.

Veiktspējas apsvērumi ietver ievērojami lielākas DNS atbildes – parakstipievieno aptuveni 500 baitus katrā RRSet. Tas dažkārt izraisa TCP atteikumu (palielina latentumu) un palielina joslas platuma patēriņu. Atvērtie resolveri ar DNSSEC var pastiprināt atstarošanas uzbrukumus 50 vai vairāk reižu, salīdzinot ar vienkāršo DNS.

Neraugoties uz šiem kompromisiem, drošības organizācijas, tostarp ICANN un NIST, iesaka DNSSEC augstas vērtības domēniem. Pieskaitāmās izmaksas ir reālas, taču attiecībā uz publiski pieejamiem pakalpojumiem, kur DNS viltošana varētu veicināt nopietnus uzbrukumus, aizsardzība attaisno sarežģītību.

Riski, izaicinājumi un iemesli, kāpēc pieņemšana joprojām ir nevienmērīga

DNSSEC rada darbības riskus, kas izskaidro lielu daļu no vilcināšanās pieņemt DNSSEC. Nepareiza konfigurācija – beidzies parakstu derīguma termiņš, DS/DNSKEY nesakritības vai nederīgas parakstu ķēdes – izraisa validācijas kļūdas. Aptuveni 30 % lietotāju, kas izmanto apstiprinošus resolverus, nepareizi konfigurēta zona vienkārši pārstāj darboties. Graciozas degradācijas nav; vaicājumi atgriež SERVFAIL.

DNSSEC ieviešanu palēnina vairāki šķēršļi:

Vairāku pušu koordinācija: Parakstīšanai nepieciešama saskaņošana starp domēnu īpašniekiem, reģistratoriem un DNS mitināšanas pakalpojumu sniedzējiem. DS ierakstiem ir jāplūst caur reģistratūru sistēmām, lai tie nonāktu mātes zonā.
Ekspertu zināšanu trūkums: Daudzām organizācijām trūkst DNSSEC pieredzes. Bažas izraisīt traucējumus, nepareizi konfigurējot, attur tās no darbības uzsākšanas.
mantotā infrastruktūra: Dažu uzņēmumu vidēs ir resolveri vai ierīces, kas pilnībā neatbalsta DNSSEC validāciju, tādējādi radot savietojamības problēmas.

Pieņemšanas statistika liecina par nevienmērīgu progresu. DNS saknes zona ir parakstīta kopš 2010. gada, un vairāk nekā 1400 TLD tagad atbalsta DNSSEC. Tomēr otrā līmeņa ieviešana ir ļoti atšķirīga. Zonā .nl parakstīšanas līmenis pārsniedz 95 %, ko veicina reģistra stimuli un obligātās politikas. Turpretī .com zonā ir aptuveni 1,5 % – miljoniemdomēnu joprojām nav parakstīti.

No resolveru puses APNIC mērījumi liecina, ka aptuveni 30 % DNS resolveru visā pasaulē veic DNSSEC validāciju, salīdzinot ar aptuveni 10 % 2018. gadā. Progress turpinās, taču lielākā daļa galalietotāju joprojām saņem neapstiprinātas DNS atbildes.

DNSSEC ietver arī citus drošības apsvērumus, kas nav saistīti tikai ar validācijas kļūdām. Lielas parakstītas atbildes padara autoritatīvos serverus pievilcīgus DNS pastiprināšanas uzbrukumiem. Operatoriem jāievieš atbilžu ātruma ierobežošana un jāievēro labākā prakse attiecībā uz resolveru konfigurāciju, lai izvairītos no kļūšanas par neapzinātu uzbrukumu infrastruktūru.

Lielākās organizācijas turpina aizstāvēt plašāku ieviešanu. ICANN publicē ieviešanas rokasgrāmatas, un valstu kiberdrošības aģentūras aizvien biežāk iesaka DNSSEC valdības un kritiskās infrastruktūras domēniem. Prognozes liecina, ka līdz 2030. gadam otrā līmeņa ieviešana varētu sasniegt 50 %, jo automatizācija, izmantojot CDS/CDNSKEY, samazina visu operatīvo berzi.

Reālās darbības: DNS saknes zonas parakstīšanas ceremonija un uzticības enkuri

DNS saknes zona DNSSEC arhitektūrā ieņem unikālu vietu. Tā kā nav mātes zonas, kas varētu nodrošināt DS ierakstu, saknes KSK ir jāuzticas ārpus joslas kā galīgajam uzticamības enkuram. Tās pareiza pārvaldība ir ārkārtīgi svarīga – ikvienaDNSSEC uzticamības ķēde sākas no šīs zonas.

ICANN četras līdz sešas reizes gadā rīko saknes parakstīšanas ceremonijas drošās telpās ASV un Eiropā. Šīs ceremonijas ietver ārkārtas procesuālo kontroli: HSM (Hardware Security Modules) glabā saknes privāto atslēgu, kurai var piekļūt tikai tad, ja vairāki šifrēšanas darbinieki vienlaicīgi izmanto viedkartes un PIN kodus. Fiziskie drošības pasākumi ietver maisiņus, kas aizsargāti pret viltojumiem, uzraudzītus seifus un pilnīgu video dokumentāciju.

Sākotnējā saknes zonas parakstīšana 2010. gada jūlijā iezīmēja DNSSEC pāreju no teorijas uz praktisku ieviešanu visā pasaulē. Ar 2018. gada KSK apvērsumu, kas aizstāja sākotnējo 2010. gada KSK ar KSK-2016, tika pārbaudīta sistēmas spēja atjaunināt uzticības pamatkodolu. Neraugoties uz plašo informatīvo kampaņu, aptuveni 0,2 % atrisinātāju problēmas radīja novecojusi programmatūra vai konfigurācija. Turpmākie pāriešanas posmi ir plānoti 2020. gadu vidū.

Rekursīvie resolveri iegūst saknes uzticamības enkuru, izmantojot programmatūras izplatīšanas vai automātiskos atjaunināšanas protokolus, ko uztur IANA. Mūsdienu resolveru programmatūrā parasti ir iekļauti pašreizējie enkuri un mehānismi atjauninājumu iegūšanai, tādējādi nodrošinot, ka mainoties atslēgām, uzticības ķēde paliek neskarta.

Šīs ceremonijas var šķist sarežģītas, taču tās sniedz pamatotu pārliecību. Saknes zonas integritāte ir DNSSEC pamatā visā pasaulē, un dokumentēts, auditējams process rada pārliecību, ka šī kritiski svarīgā infrastruktūra darbojas ar pienācīgu stingrību.

Attēlā ir attēlots drošs datu centrs, kas ir piepildīts ar sakārtotiem serveru plauktiem, un tajā redzama uzlabota drošības infrastruktūra, kas paredzēta, lai aizsargātu svarīgus DNS datus un nodrošinātu sistēmas drošības paplašinājumus, piemēram, DNSSEC validāciju. Vide uzsver, cik svarīgi ir aizsargāt DNS pieprasījumus un saglabāt domēna vārdu sistēmas integritāti.

DNSSEC izvietošana jūsu domēnos

Vai esat gatavs aktivizēt DNSSEC saviem domēniem? Process ietver vairākus posmus, sākot no verifikācijas un beidzot ar nepārtrauktu uzturēšanu.

Priekšnosacījumi apstiprināšanai:

Jūsu TLD atbalsta DNSSEC (skatiet ICANN izvietošanas resursus).
Jūsu reģistrators pieņem DS ierakstu iesniegumus
Jūsu DNS hostinga pakalpojumu sniedzējs atbalsta zonas parakstīšanu un DNSKEY pārvaldību.

Daudzi pārvaldītie DNS pakalpojumu sniedzēji, piemēram, Cloudflare un AWS Route 53, veic parakstīšanu automātiski. Pašpārvaldāmām zonām jums būs nepieciešami parakstīšanas rīki, kas ir saderīgi ar jūsu autoritatīvā servera programmatūru.

Tipiski izvietošanas soļi:

ZSK un KSK pāru ģenerēšana (vai pakalpojumu sniedzēja pārvaldītas parakstīšanas iespējošana)
DNS zonas parakstīšana un DNSSEC parakstu pārbaude lokāli
DNSKEY ierakstu publicēšana (un pēc izvēles CDS/CDNSKEY automatizētai DS pārvaldībai).
DS ierakstu iesniegšana, izmantojot reģistratora saskarni.
Atļaujiet pavairošanas laiku, pēc tam pārbaudiet visu ķēdi.

Tikpat svarīga ir validācija. Ja jūsu organizācija izmanto rekursīvos resolverus, iespējojiet DNSSEC validāciju (piemēram, dnssec-validation yes BIND). Pārbaudiet pret zināmiem domēniem: pareizi parakstītām vietnēm jāatgriež AD (Authenticated Data) karodziņš, bet dnssec-failed.org – SERVFAIL.

Labākā darbības prakse:

Uzraudzīt paraksta derīguma termiņa beigas: RRSIG termiņš parasti ir 30 dienas. Automatizējiet atteikšanos krietni pirms derīguma termiņa beigām.
Pārbaudiet atslēgu apgāšanos: Izmēģiniet pārcelšanas procedūru sagatavošanas vidē pirms ražošanas.
Īstenot brīdināšanu: Konfigurējiet DNSSEC validācijas kļūdu uzraudzību savos resolveros.
Dokumentējiet procedūras: Skaidri izpildes žurnāli novērš paniku incidentu vai plānoto apgāšanās gadījumu laikā.

Precīzas saskarnes atšķiras atkarībā no reģistratora un pakalpojumu sniedzēja, tāpēc koncentrējieties uz to, lai izprastu galvenos uzdevumus, nevis iegaumētu konkrētus pogu klikšķus. Mērķis ir ieviest DNSSEC, neradot pārtraukumus – rūpīgasagatavošanās un testēšana padara to sasniedzamu.

DNSSEC paraugprakse

Veiksmīga DNSSEC ieviešana prasa vairāk nekā tikai parakstu aktivizēšanu – tā prasa nepārtrauktu uzmanību detaļām un nozares paraugprakses ievērošanu. Domēnu īpašniekiem jāpiešķir prioritāte regulārai atslēgu rotācijai, lai mazinātu atslēgu kompromitēšanas risku, un jānodrošina, ka visas privātās atslēgas tiek glabātas droši, ideālā gadījumā izmantojot aparatūras drošības moduļus vai citas aizsargātas vides.

Ļoti svarīga ir nepārtraukta DNSSEC validācijas uzraudzība, kas ietver paraksta derīguma termiņa beigu datumu izsekošanu un ierakstu tūlītēju atteikšanos no tiem, pirms tie zaudē spēku. Svarīgi ir arī pārbaudīt, vai visi DNS infrastruktūras komponenti – autoritatīvie serveri, rekursīvie resolveri un reģistratoru saskarnes – pilnībā atbalsta DNSSEC ieviešanu un apstiprināšanu.

Testēšana ir vēl viens svarīgs solis. Domēnu īpašniekiem regulāri jāpārbauda, vai viņu DNS dati tiek pareizi parakstīti un validēti, izmantojot rīkus un testa domēnus, lai simulētu gan veiksmīgas, gan neveiksmīgas validācijas scenārijus. Ievērojot šo paraugpraksi, domēnu īpašnieki var uzturēt elastīgu DNS infrastruktūru, aizsargāt savus lietotājus no uz DNS balstītiem uzbrukumiem un nodrošināt domēna vārdu sistēmas pastāvīgu integritāti un uzticamību.

Secinājumi un turpmākie pasākumi

DNSSEC pārveido domēna vārdu sistēmu no uzticamības arhitektūras, kurā viss ir uzticams, par arhitektūru ar kriptogrāfisku verifikāciju, izmantojot digitālos parakstus un hierarhisku uzticamības ķēdi, kas novērš ievainojamības, kuras pastāv jau kopš DNS izveides pagājušā gadsimta 80. gados. Aizsardzības mehānismi – RRSIG paraksti, DNSKEY/DS saites un autentificēts noliegums, izmantojot NSEC/NSEC3 – novērš DNS kešatmiņas saindēšanu un DNS spoofing uzbrukumus, kas citādi varētu nemanāmi pāradresēt lietotājus. Attiecībā uz esošajiem DNS ierakstiem, kas satur viltotus DNS datus, validējošie resolveri vienkārši pilnībā noraida manipulētos DNS datus.

Neraugoties uz darbības sarežģītību, DNSSEC kopš 2010. gadā veiktās saknes parakstīšanas ir ievērojami attīstījies. Plašs TLD atbalsts, uzlabota automatizācija, izmantojot CDS/CDNSKEY, un pieaugošie resolveru validācijas rādītāji – tas viss liecina par dinamiku. Lielākās drošības organizācijas to atbalsta attiecībā uz domēniem, kuros viltojumi varētu radīt nopietnu kaitējumu.

Par DNS infrastruktūru atbildīgajām personām praktiski nākamie soļi ir šādi:

Pašlaik parakstīto domēnu un zonu inventarizācija
Plānojiet pakāpenisku DNSSEC ieviešanu, sākot ar svarīgākajiem publiskajiem pakalpojumiem.
Iespējot DNSSEC validāciju iekšējos resolveros, ja iespējams.
DNSSEC kļūmju uzraudzības un reaģēšanas uz incidentiem procedūru izveide.

Papildu mācību resursi ietver galvenos DNSSEC RFC (4033, 4034, 4035), ICANN un reģionālo tīkla informācijas centru izvietošanas rokasgrāmatas un testēšanas rīkus, piemēram, Verisign DNSSEC Analyzer. Ceļš no izpratnes līdz darbībai ir skaidrāks nekā jebkad agrāk, un drošības ieguvumi attaisno ieguldījumus.

īpaši ātrs

1.2s

izcili

4.7

$0.59/mēn.

Mākslīgā intelekta darbināms tīmekļa vietņu konstruktors ar pilnīgu komplekta integrāciju
Pielāgots hPanel vadības panelis ar izcilu lietotāja pieredzi
Tirgū vadošā pieejamā cena ar augstu veiktspēju

ātrs

1.3s

izcili

4.9

$2.99/mēn.

Mākslīgā intelekta pārvaldīta optimizācija un viedie mākslīgā intelekta rīki satura izveidei
Google mākoņa infrastruktūra ar pielāgotu MySQL un iebūvētu kešatmiņu
98% klientu apmierinātība un vairāk nekā 3 miljoni izmitināto domēnu

ļoti labs

4.3

$30.00/mēn.

Pārvaldīta WordPress hostinga pakalpojumi, kas paredzēti izaugsmei un uzņēmumu paplašināšanai
Uzņēmuma klases drošība un 99,99 % darbības laika SLA
Godalgots 24/7 atbalsts ar augstu pirmās reakcijas izšķirtspēju

Ietaupiet 85% no 48 mēnešu Premium plāna + 3 mēneši bez maksas

Verificēts

85% OFF Iegūt piedāvājumu

Ietaupiet ~17% ar gada rēķinu (2 mēneši bez maksas)