Mi az a DNSSEC? És miért lehet fontos számodra is?

Mi már tudjuk, hogy a DNSSEC egy olyan dolog, ami megváltoztatja az internet alapjait az elkövetkező egy-másfél év során. Ezért talán Neked is érdemes tisztában lenni azzal, hogy miről is van szó.

Röviden és nagyon leegyszerűsítve azt lehet mondani, hogy a DNSSEC hasonló a HTTPS-hez, vagyis egy hitelesített válaszokat adó biztonsági réteget jelent egy egyébként nem biztonságos protokollra (DNS) építve. Ugyanakkor míg a HTTPS titkosítja a forgalmat, így senki sem tud a hálón beletekinteni az internetes aktivitásodba, addig a DNSSEC nem titkosít. Ez azt jelenti, hogy a DNSSEC úgy kínál megoldást egy problémára, hogy nincs szükség titkosítás alkalmazására.

Mi az a DNS, és mi az a DNSSEC?

Ahhoz, hogy megértsd, mi az a DNSSEC, először érdemes tisztában lenni azzal, hogy mi is az a DNS (domain name system). A DNS a weboldalak címeit, azaz URL-jeit – mint például a webshark.hu – szám alapú internetes címekre fordítja. Talán a legtalálóbb hasonlat a DNS-re, hogy ez az internet telefonkönyve. Ez a megoldás nagyon hatékony a számítógépeknek, hogy olvassák és feldolgozzák adatokat, ugyanakkor rendkívül nehéz az emberek számára megjegyezni a számukra jelentéssel nem bíró számsorokat.

A probléma megoldásaként minden domainnévhez hozzá lett rendelve egy számokból álló IP-cím. A domainnév-információk viszont speciális szervereken, az úgynevezett domain név szervereken vannak eltárolva, melyek a szöveges domainneveket, mint a webshark.hu-t is IP címekké alakítják, illetve fordítva.

Ugyanakkor, amikor a DNS bevezetésre került, nem sikerült biztonságossá alakítani, és az indulás után hamarosan több sebezhetőséget is felfedeztek benne. Ennek eredményeként egy biztonsági rendszer került kidolgozásra bővítmények formájában, melyek hozzáadhatók a már létező DNS protokollhoz. A DNSSEC (Domain Name System Security Extensions) olyan protokollokból áll, melyek a már említett biztonsági réteget jelentik a domainnév-rendszeren, és amelyek beépülnek a weboldalak interneten keresztül történő elérésébe.

Hogyan működik a DNSSEC?

A DNSSEC eredeti célja az volt, hogy megvédje az internet használóit a DNS adatok meghamisításától azzal, hogy az adatokba ágyazott digitális aláírással igazolja azokat. Tehát, amikor egy felhasználó beüt egy domainnevet a böngészőjében, a digitális aláírás hitelesítésre kerül. Amennyiben ez a digitális aláírás megfelel annak, mint amit a master DNS szerverek tárolnak, akkor az adatok hozzférhetnek a kliens számítógéphez, hogy az elküldhesse a kérést. A DNSSEC tehát azt biztosítja, hogy valóban azzal a weboldallal vagy internetes hellyel kommunikálj, melyet szándékodban állt meglátogatni.

A DNSSEC nyilvános kulcsok és digitális aláírások rendszerét használja az adatok hitelesítésére. Tulajdonképpen új rekordokat ad a DNS-nél a már eddig is létező rekordok mellé. Ezek az új rekord-típusok, mint amilyen az RRSIG vagy a DNSKEY ugyanolyan módon tölthetők le, mint a gyakran használt A, CNAME vagy MX rekordok. Az új rekordokat arra használjuk, hogy aláírásra kerüljön egy domain nyilvános kulcsú kriptográfiával.

Egy aláírt névkiszolgálónak van egy nyilvános és egy privát kulcsa minden zónához. Amikor valaki elindít egy lekérést, ez a privát kulccsal aláírt információkat küldi el, a fogadó fél pedig a nyilvános kulccsal oldja fel. Ha egy harmadik fél megpróbál megbízhatatlan információkat küldeni, akkor a nyilvános kulcs nem fogja megfelelően nyitni, így a fogadó fél tudja, hogy az információ hamis.

Ugyanakkor azt is fontos tudni, hogy a DNSSEC nem biztosít adat-titkosítást, mivel nem tartalmaz titkosító algoritmusokat. Csupán azokat a kulcsokat biztosítja, melyek szükségesek a DNS adatok eredetiségének hitelesítéséhez. Ezt azt jelenti, hogy a DNSSEC nem jelent védelmet egy DDoS támadás esetén.

Milyen kulcsokat használ a DNSSEC?

A DNSSEC két típusú kulcsot használ:

  1. A zóna-aláíró kulcsot (ZSK, rövidtávú kulcs) – mely a zónán belüli egyéni rekordkészletek eláírására és érvényesítésére szolgál.
  2. A kulcs-aláíró kulcsot (KSK, hosszú távú kulcs) – mely a DNSKEY rekordok zónán belüli aláírására szolgál.

Mindkét kulcsot a DNSKEY rekordok tartalmazzák a zónafájlban. A használatuk lényege, hogy mivel minden kulcs feltörhető, így a DNSSEC esetében is megismerhető a privát kulcs a privát-nyilvános kulcspárból, ezáltal pedig kiiktatható a DNSSEC által kínált védelem. Annak érdekében, hogy ez mégse következzen be, a DNSSEC bevet egy rövid távú kulcsot, az úgynevezett zóna-aláíró kulcsot, mely aláírásokat készít a DNS rekordhoz és a hosszú távú kulcshoz (KSK). Mivel a ZSK gyakran változik, így a támadónak nehezebb megfejtenie, mint a jóval hosszabb időszakonként változó KSK-t.

A fő infrastruktúra az ICANN kezében van, ugyanakkor a KSK-k generálásának joga a külső feleket illeti meg. Ez egy fontos eleme a folyamat globális elfogadásának. A folyamat időbeli lefolyása így néz ki:

  • 2016 október 27. – elindul a KSK kibocsátásának folyamata az új KSK generálásával.
  • 2017. július 11. – az új KSK közzététele a DNS-ben.
  • 2017. szeptember 19. – méretnövelés a DNSKEY válaszért a root névszerverektől.
  • 2017. október 11. – az új KSK elkezdni aláírni a gyökérzóna kulcskészletet.
  • 2018. január 11. – a régi KSK visszavonása.
  • 2018. március 22. – a régi KSK utolsó napja a gyökérzónában.
  • 2018. augusztus – a régi kulcs törlése az ICANN-nél.

A Web Hosting Kft. az első Domain Regisztrátor vállalkozások között van Magyarországon, ahol már van olyan munkatárs, aki az ISZT (Internet Szolgáltatók tanácsa) DNSSEC tanfolyamán sikeres vizsgát tett.

Cégünk a következő időkben, de legkésőbb az új KSK aláírását követően az infrastruktúrájába is be fogja vezeti a DNSSEC-et az Ügyfelek adatainak biztonsága érdekében.

Címkék: , ,

A Webshark.hu a hozzászólásoknál előzetes moderálást alkalmaz. Moderálási szabályaink itt olvashatók.