DNSSEC za sigurniji internet saobraćaj
Kada korisnik ukuca adresu veb strane ili e-pošte, najčešće nije ni svestan da se u pozadini dešava veoma intenzivan proces pronalaženja odgovarajuće internet adrese (IP adrese). DNS razrešivač koji korisnici Interneta koriste, najčešće kod ISP provajdera ili DNS server kompanije u kojoj rade, mora da pređe dug put od root servera, preko autorizujućih servera za TLD do severa koji su autorizovani da daju odgovor o internet lokaciji, tj. IP adresu na kojoj se nalazi veb strana koju je korisnik tražio.
DNS upiti se ispravno razrešavaju u najvećem broju slučajeva, ali šta ako je neko zlonameran u mogućnosti da promeni odgovor koji korisnik dobija od DNS servera? Ima mnogo načina da napadač uspešno preusmeri korisnika da umesto na pravoj, legitimnoj internet lokaciji, završi na servisu koji kontroliše napadač. U tom slučaju, sve što korisnik unese – korisničko ime, lozinku, broj kreditne kartice, svoje lične podatke, kao i poslate imejl poruke… vidljivo je napadaču i može biti zloupotrebljeno.
Svakodnevno se u svetu „ukrade“ na hiljade naziva domena, a korisnici tih internet servisa se, bez njihovog znanja, preusmeravaju na internet lokacije koje kontrolišu hakeri. Jedan od čestih slučajeva zloupotrebe slabosti DNS-a je preusmeravanje elektronske pošte preko servera koje kontrolišu napadači. Često ovakve manipulacije DNS-a traju mesecima dok administratori „ukradenog“ domena ne primete da su hakeri svo to vreme imali uvid u e-poštu njihove kompanije.
Kako onda i da li uopšte možemo da verujemo DNS-u? Da li postoji način da korisnik zna da li je DNS odgovor koji je dobio pogrešan ili tačan? Odgovor na to pitanje je potvrdan – DNSSEC.
Šta je DNSSEC?
DNS je kreiran kada nije bilo potrebe da se razmišlja o njegovoj bezbednosti. DNSSEC obezbeđuje nedostajuću funkcionalnost DNS sistema koja daje mogućnost utvrđivanja autentičnosti izvora i integritet dobijenog odgovora. Upotrebom kriptografskih ključeva omogućeno je da klijenti mogu da potvrde dobijene DNS odgovore, tj. da mogu biti sigurni da podaci koje su dobili nisu menjani tokom prenosa i da potiču iz izvora koji je autorizovan da ih šalje.
DNS razrešivač koji ima aktiviranu validaciju DNSSEC potpisa prihvata samo odgovor koji ima odgovarajući kriptografski ključ. Savremeni kriptografski algoritmi pružaju dovoljnu garanciju da jedini validan DNS odgovor potiče od servera koji je autoritativan za dati naziv domena (ima kopiju DNS podataka onakvih kakve je registrant naziva domena uneo) i da odgovor ne može biti promenjen na putu do korisnika.
Na sajtu res-check.dnssec.rs možete proveriti da li DNS razrešivač koji koristite ima uključenu validaciju DNS odgovora za DNSSEC potpisane domene
Postoje dve strane u procesu upotrebe DNSSEC-a, digitalno potpisivanje naziva domena i validacija DNSSEC potpisa koju obavlja DNS server (razrešivač) korisnika. Da bi DNSSEC ispunio svoj zadatak moraju da budu ispunjena oba uslova, ali se oni u praksi implementiraju i primenjuju potpuno nezavisno.
DNSSEC potpisivanje naziva domena obavlja operator DNS servera na kome se kreira zonski fajl za dati naziv domena. Ti DNS serveri mogu biti:
- Server hosting provajdera
- Server ovlašćenog registra preko koga je domen registrovan
- Server kompanije ili drugi server koji administrira registrant naziva domena
- Server komercijalnog ili besplatnog provajdera DNS usluga
Prilikom potpisivanja naziva domena kreiraju se digitalni potpisi u DNS zonskom fajlu koji DNS razrešivači koriste za validaciju dobijenih odgovora i potvrdu da odgovor nije menjan. To praktično znači da DNS server koji je autoritativan za naziv domena, osim standardnog DNS odgovora šalje i dodatne podatke u vidu kriptografskog zapisa.
Koristite servere koji imaju uključenu validaciju DNSSEC potpisa
U slučaju DNSSEC-a ne postoji Sertifikaciono telo (CA) već se lanac poverenja uspostavlja od korenskog (root) nivoa. Svaki hijerarhijski viši nivo sadrži podatke o domenima nižeg nivoa, što praktično onemogućava prosleđivanje pogrešnih odgovora do korisnika.
DNS razrešivač koji ima aktiviranu validaciju DNSSEC zapisa, na osnovu informacije iz hijerarhijski više DNS zone, zna da od autoritativnog servera za naziv domena, za koji je zatražio DNS odgovor, treba da traži i dodatne DNSSEC zapise na osnovu kojih potvrđuje da je dobijeni odgovor autentičan i tačan.
Svi oni koji koriste DNS razrešivač kod koga je omogućena validacija DNSSEC potpisa, mogu biti sigurni da su dobijeni DNS odgovori za DNSSEC potpisane nazive domena autentični i tačni. Sa druge strane, korisnici DNS razrešivača koji ne vrše validaciju DNSSEC potpisa su i dalje moguća meta napadača, bez obzira da li je naziv domena DNSSEC potpisan ili ne. Zbog toga, da bi zaštitili korisnike Interneta od neželjenog preusmeravanja na pogrešne internet lokacije, svi administratori DNS servera bi svakako trebalo da uključe DNSSEC validaciju, bez obzira na to da li je naziv domena njihovog ISP-a, kompanije ili lični naziv domena DNSSEC potpisan.
Iako validacija DNS odgovora za DNSSEC potpisane nazive domena sadrži dodatne podatke i njihovu obradu, to ne usporava značajno proces razrešavanja DNS odgovora, a većina korisnika tu minimalnu razliku neće ni primetiti. S druge strane, značajno viši nivo bezbednosti i činjenica da korisnici ne mogu, osim u situacijama kada je sam računar kompromitovan ili zaražen zlonamernim softverom, biti preusmereni na lokacije koje za njih ili njihove računare mogu biti štetne.
Nesporno je da ogromna većina korisnika Interneta želi da svoje svakodnevne aktivnosti obavlja u sigurnom okruženju, a DNSSEC, u odnosu na DNS kakav smo do sada poznavali, predstavlja „kvantni skok“ kada je bezbednost u pitanju.
Na sajtu res-check.dnssec.rs možete proveriti da li DNS razrešivač koji koristite ima uključenu validaciju DNS odgovora za DNSSEC potpisane domene. Ako vaš DNS ne validira DNSSEC potpise tražite od ISP-a ili administratora u vašoj kompaniji da aktivira i ovu, veoma značajnu meru za vašu bezbednu upotrebu Interneta.
Korisna adresa: RNIDS.rs
Autor: Žarko Kecić
