Что такое DNSSEC и чем важна эта технология
DNSSEC – расширение безопасности DNS, разработанное с целью снижения интенсивности атак, направленных на подмену IP-адресов. Проще говоря, этот протокол повышает надежность при проверке на подлинность в DNS, для чего использует цифровые подписи, основанные на криптографии с открытым ключом.
Технологию DNSSEC применяют для проверки двух важных аспектов в DNS:
- Подлинность источника данных. Резолвер с помощью криптографии отслеживает все входящие данные и определяет, откуда они поступили.
- Целостность данных. Если данные каким-либо образом изменялись, резолвер это определит и выдаст в ответ ошибку.
Таким образом, повсеместное внедрение технологии DNSSEC позволяет обеспечить серьезную защиту в Интернете. На данный момент делать это приходится сетевым операторам вручную. Сетевые операторы на своих рекурсивных резолверах, а владельцы доменов – уже у себя.
Какие преимущества дает использование DNSSEC
Необходимость внедрения расширения обусловлена тем, что сам по себе протокол DNS не имеет защиты. В 80-х годах прошлого века, когда его только разрабатывали, вопрос безопасности не был приоритетным, поэтому возможность проверки подлинности ответов от авторитативного DNS-сервера не предусмотрена. Всё, что может сделать резолвер – это осуществить проверку IP-адреса, чтобы удостовериться в его подлинности. В нынешних реалиях этого мало, так как современные методы работы мошенников вполне позволяют подделывать и подменять IP-адрес источника.
Злоумышленники эксплуатируют эту уязвимость, выдавая себя за авторитативный сервер, что и позволяет им перенаправлять юзеров на потенциально вредоносные сайты с запрещенным и нелегальным контентом. Кроме прочего, DNSSEC позволяет надежно защитить сервер от спуфинга и атак, производимых с повреждением кэша DNS.
Что нужно для входа в интернет с протоколом DNSSEC
Настроить защиту доменов с помощью расширения протокола DNSSEC не составит труда. Для этого:
- Добавляем в систему DNS записи ресурсов, которые связаны с DNSSEC.
- Публикуем записи ресурсов DNS для домена.
Для Google Domains всё делается довольно быстро и легко. Необходимо войти в аккаунт, выбрать нужный домен и перейти через меню в раздел с DNS. Здесь нужно в самом низу активировать набор DNSSEC. После этого зона автоматически получит подпись, а спустя сутки изменения вступят в силу.
Для всех прочих серверов доменных имен алгоритм действий может отличаться, так что рекомендуем с этим вопросом обратиться к поставщику услуг. На этом мы заканчиваем наш материал. Спасибо за внимание!