Użytkownicy domen z sufiksem .pl zyskają w czerwcu br. możliwość zabezpieczenia serwerów DNS przed atakami typu cache poisoning, które pozwalają cyberprzestępcom przekierowywać użytkowników internetu do fałszywych witryn bez ich wiedzy. NASK, firma zarządzająca domeną .pl, poinformowała, że zakończony już został pierwszy etap wdrożenia obsługi protokołu DNSSEC (DNS Security Extensions) - w lutym br. IANA (Internet Assigned Numbers Authority) wprowadziła do systemu nazw domenowych wartość funkcji skrótu dla domeny .pl. Wdrażanie DNSSEC w swojej infrastrukturze obsługującej domenę .PL, NASK rozpoczął w grudniu 2011 roku, a jego zakończenie planowane jest na 4 czerwca br., gdy NASK rozpocznie przyjmowanie od abonentów nazw domeny .PL, przygotowanych do wdrożenia obsługi DNSSEC skrótów z kluczy kryptograficznych.

DNSSEC wykorzystuje kryptografię klucza publicznego i podpisy cyfrowe do weryfikacji nazw domen i odpowiadających im adresów IP. Mechanizm ten umożliwia sprawdzenie tożsamości witryn WWW i ochronę przed atakami cache poisoning, które pozwalają na przekierowywanie ruchu webowego do fałszywych stron internetowych. Protokół wprowadza mechanizmy autoryzacji i kontroli niezmienności danych przesyłanych w systemie DNS. Należy jednak pamiętać, że DNSSEC nie zapewnia szyfrowania danych, a tylko możliwość weryfikacji ich autentyczności. Nie chroni też bezpośrednio przed atakami DoS.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Podstawowym celem DNSSEC je zabezpieczanie adresów IP przed oszustwami. Ale protokół ten może mieć więcej zastosowań, jak choćby do zabezpieczania dystrybucji kluczy kryptograficznych ogólnego przeznaczenia wykorzystywanych na przykład do szyfrowania poczty elektronicznej.

W ogólności efektywne działanie DNSSEC wymaga by serwery DNS na wszystkich poziomach obsługiwały ten protokół, a ich rejestry zostały zaktualizowane i zawierały dodatkowe informacje umożliwiające przeprowadzenie procesu autoryzacji. Niezbędna też może być rekonfiguracja lub wymiana starszych modeli zapór i urządzeń sieciowych. Podobnie w wypadku urządzeń klienckich TCP/IP - ich oprogramowanie często musi zostać zaktualizowane by mogło skorzystać z możliwości oferowanych przez DNSSEC.

Pierwszą domeną najwyższego poziomu, w której wprowadzono mechanizmy zabezpieczeń DNSSEC była domena .ORG (czerwiec 2010 r.) do której w 2011 roku dołączyła też najpopularniejsza domena .COM. Warto zauważyć, że polska domena narodowa będzie kolejną, jedną z wielu tego typu, które udostępnią możliwość korzystania z DNSSEC. Pierwszymi krajami, w których wdrożono te rozwiązanie były m.in. Brazylia, Bułgaria, Czechy i Szwecja.

Wdrożenie DNSSEC jest dość kosztownym i skomplikowanym technicznie procesem. Dlatego też, żeby spopularyzować tą technologię, NASK we współpracy z Polską Izbą Informatyki i Telekomunikacji zapowiedziały zorganizowanie 5 kwietnia br. specjalnego seminarium na temat DNSSEC w Centrum Nauki Kopernik w Warszawie.