NASK - kolejny etap wdrażania DNSSEC zakończony
- 01.03.2012, godz. 12:55
Wdrożenie protokołu DNSSEC dla krajowej domeny .PL już wkrótce umożliwi zabezpieczanie lokalnych serwerów DNS przed atakami i zwiększy bezpieczeństwo użytkowników odwiedzających polskie witryny
DNSSEC wykorzystuje kryptografię klucza publicznego i podpisy cyfrowe do weryfikacji nazw domen i odpowiadających im adresów IP. Mechanizm ten umożliwia sprawdzenie tożsamości witryn WWW i ochronę przed atakami cache poisoning, które pozwalają na przekierowywanie ruchu webowego do fałszywych stron internetowych. Protokół wprowadza mechanizmy autoryzacji i kontroli niezmienności danych przesyłanych w systemie DNS. Należy jednak pamiętać, że DNSSEC nie zapewnia szyfrowania danych, a tylko możliwość weryfikacji ich autentyczności. Nie chroni też bezpośrednio przed atakami DoS.
Zobacz również:
Podstawowym celem DNSSEC je zabezpieczanie adresów IP przed oszustwami. Ale protokół ten może mieć więcej zastosowań, jak choćby do zabezpieczania dystrybucji kluczy kryptograficznych ogólnego przeznaczenia wykorzystywanych na przykład do szyfrowania poczty elektronicznej.
W ogólności efektywne działanie DNSSEC wymaga by serwery DNS na wszystkich poziomach obsługiwały ten protokół, a ich rejestry zostały zaktualizowane i zawierały dodatkowe informacje umożliwiające przeprowadzenie procesu autoryzacji. Niezbędna też może być rekonfiguracja lub wymiana starszych modeli zapór i urządzeń sieciowych. Podobnie w wypadku urządzeń klienckich TCP/IP - ich oprogramowanie często musi zostać zaktualizowane by mogło skorzystać z możliwości oferowanych przez DNSSEC.
Pierwszą domeną najwyższego poziomu, w której wprowadzono mechanizmy zabezpieczeń DNSSEC była domena .ORG (czerwiec 2010 r.) do której w 2011 roku dołączyła też najpopularniejsza domena .COM. Warto zauważyć, że polska domena narodowa będzie kolejną, jedną z wielu tego typu, które udostępnią możliwość korzystania z DNSSEC. Pierwszymi krajami, w których wdrożono te rozwiązanie były m.in. Brazylia, Bułgaria, Czechy i Szwecja.
Wdrożenie DNSSEC jest dość kosztownym i skomplikowanym technicznie procesem. Dlatego też, żeby spopularyzować tą technologię, NASK we współpracy z Polską Izbą Informatyki i Telekomunikacji zapowiedziały zorganizowanie 5 kwietnia br. specjalnego seminarium na temat DNSSEC w Centrum Nauki Kopernik w Warszawie.