DNSSEC wprowadzenie

Co to jest DNSSEC?

DNSSEC (ang. Domain Name System Security Extensions) to zestaw rozszerzeń do protokołu DNS, zapewniających wiarygodność i integralność odpowiedzi otrzymywanych z Internetu.

Inaczej mówiąc, DNSSEC chroni przed modyfikacjami odpowiedzi otrzymywanych z Internetu i zapewnia, że pochodzą one z właściwego źródła, dzięki czemu użytkownik Internetu ma pewność, że otrzymuje autentyczne dane, np. ma pewność, że nie został przekierowany na fałszywą stronę internetową, podszywającą się pod inną.

Jakie korzyści daje DNSSEC?

Na początku warto wspomnieć, że protokół DNS (czyli system nazw domenowych) zaprojektowano tak, aby w szybki i prosty sposób użytkownik Internetu otrzymał połączenie z poszukiwanym zasobem. Tworząc koncepcję nie przewidziano bardzo szybkiej popularyzacji Internetu, mnogości usług dostępnych przez DNS oraz związanych z tym zagrożeń. Informacje przesyłane w ten sposób nie są utajnione, ani zabezpieczone przed podrobieniem czy modyfikacją. Potencjalnie, dane mogą zostać sfałszowane bądź zmienione w wielu miejscach w sieci. A po ich wprowadzeniu do pamięci podręcznej serwerów DNS, przez dłuższy czas są udostępniane kolejnym użytkownikom.

DNS jest obecnie najczęściej wykorzystywanym mechanizmem przez inne protokoły/usługi Internetu (np. usługa stron internetowych www i protokół HTTP). Dotychczas zwracano głównie uwagę na bezpieczeństwo samych usług, tj. zabezpieczanie dostępu do serwisów bankowych, szyfrowanie poczty elektronicznej, pomijając zabezpieczenie samych nazw domen internetowych, będących podstawą działania tych usług. Powoduje to narażenie użytkowników Internetu na nieświadome ujawnienie istotnych danych (np.: tożsamości, haseł), na fałszywych (,,podmienionych") stronach internetowych, utworzonych na prawdziwych domenach, a przez to na utratę kontroli, np.: nad kontem bankowym, pocztą elektroniczną czy profilem w serwisie społecznościowym. Dostrzegając te słabości protokołu DNS, wprowadzono do niego mechanizm pozwalający na weryfikację autentyczności otrzymywanych odpowiedzi, tj. DNSSEC.

DNSSEC zwiększa bezpieczeństwo korzystania z DNS. Dzięki niemu użytkownik Internetu jest w stanie stwierdzić, czy informacja, która do niego dotarła przez DNS jest prawdziwa, a co za tym idzie, czy np. strona internetowa, którą odwiedza to rzeczywiście strona banku, urzędu, sądu, rejestru publicznego, czy też podszywająca się pod nią strona fałszywa (tzw. phishing).

DNSSEC to również doskonałe narzędzie dla instytucji funkcjonujących w Internecie, którym zależy na bezpieczeństwie swoich klientów i świadczonych przez siebie usług.

Poradniki

Publikacje NASK dotyczące DNSSEC