Kicsit a DNS-ről
Ehhez először is tisztázzuk a DNS (domain name system) fogalmát. Számos egyéb funkciója mellett talán a legfontosabb szolgáltatása, hogy az emberek számára értelmes tartományneveket, pl. netpr.hu, a hálózati eszközök számára érthető numerikus azonosítókká fordítja le, oldja fel. Segítségével ezeket az eszközöket meg lehet találni, meg lehet címezni a hálózaton. Az internet egyfajta telefonkönyve, amiből ki lehet keresni az emberek számára értelmezhető számítógép-állomásnevekhez tartozó IP-címeket. Például a netpr.hu tartománynévhez a 217.160.61.177 (IPv4) cím tartozik.
Fontos megemlíteni a névkiszolgálók szerepét. Az a névkiszolgáló tekinthető mérvadónak (autoritatívnak) egy zónára nézve, ami olyan válaszokat ad vissza, amit az eredeti, mérvadó forrás (a tartomány adminisztrátora kézzel, vagy valamilyen dinamikus DNS-kezelő módszer segítségével) konfigurált, emiatt biztonságosnak tekinthetők – szemben a másod- vagy harmadkézből, egy más DNS-kiszolgáló lekérdezésével kapott válaszokkal. Ezt nagyon mélyen lehetne boncolgatni, de laikusokat nem biztos, hogy érdeklik ezek a mély részletek, ezért ajánlom ezt a videót, ami bemutatja miért oly fontos a DNSSEC alkalmazása:
A DNSSEC és alapvető működése
Amikor a DNS bevezetése megtörtént, később több biztonsági probléma is felszínre került. Ennek okán egy biztonsági rendszer került kidolgozásra bővítmények formájában, ezek hozzáadhatók a már létező DNS protokollhoz. A DNSSEC (Domain Name System Security Extensions) olyan protokollokból áll, melyek a biztonsági réteget jelentik a domain rendszerben.
A DNSSEC eredeti célja, hogy megvédje az internetet böngésző felhasználókat a DNS adatok meghamisításától, azzal a módszerrel, hogy az adatokba ágyazott digitális aláírással igazolja azokat.
A DNSSEC alapvető célja a DNS-ben lévő adatok integritásának és autentikusságának biztosítása. Ez azt jelenti, hogy védi az internetes klienseket a hamisított DNS adatoktól azáltal, hogy átvizsgál, továbbá megerősít egy úgynevezett digitális, DNS-be ágyazott kézjegyet. Ezáltal a DNSSEC biztosítja, hogy a látogató valóban azzal az oldallal lépjen kapcsolatba, amelyikkel szeretett volna.
A DNSSEC egy úgynevezett nyilvános kulcs rendszert alkalmaz, hogy felülvizsgálja az adatokat úgy, hogy a már meglévő DNS rekordokhoz további rekordokat csatol. Ezek az új rekordok végzik a domain digitális aláírását. Az így aláírt névkiszolgáló már rendelkezik nyilvános és privát kulccsal is. Ha valaki be kíván lépni, privát kulcsokon keresztül küld információkat, amit a címzett a nyilvános kulccsal aztán felold. Ha harmadik személytől származó adat érkezik be, ami nem egyezik a nyilvános kulccsal, a címzett azt nem oldja fel.
A DNSSEC által használt kulcsok
A DNSKEY-ben található kulcsokat két különböző célra használják:
Key Signing Key (KSK-kulcs aláíró kulcs) feladata a zóna aláíró kulcsok aláírása
Zone Signing Key, (ZSK-zóna aláíró kulcs) ezzel az egyes rekordokat írják alá
Összegzés:
A DNSSEC tehát egy olyan fontos biztonsági protokoll amit gyakorlatilag kötelező használni, ha valaki nem akarja kitenni a látogatóit, ügyfeleit annak, hogy meghamisított weboldalra irányítsák őket. Bár még mindig nem általános az alkalmazása, azt gondolom ez már a jelen kor biztonsági technológiája, így alkalmazása megkerülhetetlenül fontos. A tárhely és weboldal karbantartás csomagjaink keretében minden ügyfelünk számára díjmentesen biztosítjuk ezt a technológia védelmet, a bevezetése 2021-es év végén történik meg minden szerverünkön található weboldalnál: tárhely és weboldal karbantartás.