In diesem Artikel wird davon ausgegangen, dass Sie Was ist DNS und wie es funktioniert? Das Domain Name System (DNS) ist ein kritisches Element des Internetsystems. Laienhaft ausgedrückt:Ohne DNS gibt es kein Internet. Aber anfänglich wurde DNS ohne viel Sicherheit entwickelt. Beispielsweise ist DNS anfällig für DNS-Cache-Poisoning (DNS-Spoofing-Angriffe); wo ein Angreifer einige ungültige Einträge in das schwache DNS-System einfügen kann und diese falschen Daten verwendet werden können, um Webverkehr auf gefälschte Websites umzuleiten (Erfahren Sie mehr über DNS-Cache-Poisoning und wie es das Internet beeinflussen kann). Abgesehen von DNS-Spoofing ist das DNS-System auch anfällig für DDOS- und Man-in-the-Middle-Angriffe.
Um DNS-Sicherheitsprobleme zu lösen, wurde die Domain Name System Security Extension (DNSSEC) eingeführt. DNSSEC wurde nicht entwickelt, um die oben genannten Angriffe zu beenden, sondern um sicherzustellen, dass sie vom Endbenutzer oder Resolver (sicherheitsaktivierter Resolver) erkannt werden können. Dies bedeutet, dass der sicherheitsbewusste Resolver die vom DNS-Server empfangene Antwort validieren und feststellen kann, ob die Informationen korrekt sind oder nicht.
Die Bereitstellung von DNSSEC ist keine leichte Aufgabe, die Implementierung jedoch schon. Dazu gehören Zonenbesitzer wie .net, .com, .edu, .in usw., die DNSSEC für ihre Zonen implementieren müssen. Es hört hier nicht auf, die verschiedenen Organisationen, Institutionen und Internetdienstanbieter (ISPs) müssen DNSSEC auf ihren eigenen DNS-Servern bereitstellen. Und schließlich muss das Ende sicher etwas tun; Aktualisieren Sie ihre Resolver, um das DNSSEC-Protokoll zu verstehen, und fügen Sie einige vertrauenswürdige Schlüssel hinzu. Diese vertrauenswürdigen Schlüssel werden als verankerte Schlüssel bezeichnet, die im Resolver konfiguriert werden sollten. Wenn all dies erledigt ist, kann der Endbenutzer (wie ich und Sie) Angriffe erkennen.
DNSSEC stellt DNS die Datenursprungsauthentifizierung und den Schutz der Datenintegrität bereit. Es verwendet Public-Key-Kryptographie wie Secure Shell (SSH) und Internet Protocol Security (IPSec).
Technisch DNSSEC…
DNSSEC fügt dem bestehenden Domain Name System (DNS) einen kryptografischen Charakter hinzu, um die Authentizität und Integrität der DNS-Antwort sicherzustellen. Als ich kryptografische Natur sagte, bedeutet dies, dass die kryptografischen Signaturen für A-Einträge in DNS veröffentlicht werden. Wenn beispielsweise RRSIG (Resource Record Signature) für einen A-Eintrag veröffentlicht wird, erlaubt die Quellorganisation den Resolvern, zu überprüfen, ob der empfangene A-Eintrag authentisch und korrekt ist.
Lassen Sie mich etwas Hilfe von CISCO annehmen , wo die DNSSEC-Funktionalität wie folgt erklärt wurde,
„Ein Client-Computer mit einem eingebetteten Stub-Resolver setzt das DNSSEC-OK-Bit (DO) in ausgehenden Abfragen auf 1, wenn er DNSSEC verwenden möchte, um die Authentizität von DNS-Informationen zu überprüfen. Wenn ein DNSSEC-fähiger DNS-Server eine Abfrage mit DO=1 erhält, verwendet er lokal gespeicherte oder empfangene RRSIG-Einträge, um die Authentizität der DNS-Informationen kryptografisch zu überprüfen. Das Verifizierungsergebnis wird dem Stub-Resolver unter Verwendung des Authenticated Data (AD)-Bits in der DNS-Antwort mitgeteilt; wobei AD=1 angibt, dass die DNS-Daten authentisch sind, und AD=0 angibt, dass die DNSSEC-Verifizierung fehlgeschlagen ist ” – Quellenangabe:CISCO
Was ist der Unterschied zwischen DNS und DNSSEC?
Wie ich bereits sagte, ist DNSSEC eine Sicherheitserweiterung des bestehenden DNS. Das bedeutet, dass DNS ohne DNSSEC leben kann (natürlich mit wenigen Schwachstellen), aber DNSSEC kann ohne DNS nicht existieren.
Ein weiterer Hauptunterschied ist die Größe der Datensätze. DNSSEC-Nachrichten sind größer als DNS-Nachrichten (ohne aktiviertes DNSSEC). Weil DNSSEC Flags wie DO, AD und andere DNSSEC-bezogene Header-Flags trägt.
Jetzt wissen Sie, was DNSSEC ist und warum es wichtig ist, es auf Ihrem DNS zu aktivieren. Sehen wir uns in den nächsten Tagen an, wie Sie DNSSEC in Ihrem bestehenden DNS-System bereitstellen.
LESEN:Wie richte ich DNSSEC auf Bind ein?
LESEN:Wie erkennt man, ob eine Domain DNSSEC-signiert ist oder nicht?