Що таке DNSSEC і чим важлива ця технологія

DNSSEC – розширення безпеки DNS, розроблене з метою зниження інтенсивності атак, спрямованих на заміну IP-адрес. Простіше кажучи, цей протокол підвищує надійність під час перевірки на справжність у DNS, для чого використовує цифрові підписи, що базуються на криптографії з відкритим ключем.

Технологію DNSSEC застосовують для перевірки двох важливих аспектів DNS:

1. Справжність джерела даних. Резолвер за допомогою криптографії відстежує всі вхідні дані та визначає, звідки вони надійшли.
2. Цілісність даних. Якщо дані якимось чином змінювалися, резолвер це визначить і видасть помилку.

Таким чином, повсюдне впровадження технології DNSSEC дозволяє забезпечити серйозний захист в Інтернеті. На даний момент робити це доводиться мережевим операторам вручну. Мережеві оператори на своїх рекурсивних резолверах, а власники доменів вже в себе.

Які переваги дає використання DNSSEC?

Необхідність впровадження розширення обумовлена ​​тим, що сам собою протокол DNS не має захисту. У 80-х роках минулого століття, коли його тільки розробляли, питання безпеки не було пріоритетним, тому можливість перевірки автентичності відповідей від авторитативного DNS-сервера не передбачено. Все, що може зробити резолвер – це здійснити перевірку IP-адреси, щоб упевнитись у його справжності. У нинішніх реаліях цього мало, оскільки сучасні методи роботи шахраїв цілком дозволяють підробляти та підміняти IP-адресу джерела.

Зловмисники експлуатують цю вразливість, видаючи себе за авторитативний сервер, що дозволяє їм перенаправляти користувачів на потенційно шкідливі сайти із забороненим і нелегальним контентом. Крім іншого, DNSSEC дозволяє надійно захистити сервер від спуфінгу та атак, що виробляються з пошкодженням кешу DNS.

Що потрібно для входу в інтернет з протоколом DNSSEC

Налаштувати захист доменів за допомогою розширення протоколу DNSSEC не важко. Для цього:

1. Додаємо до системи DNS записи ресурсів, пов'язаних із DNSSEC.
2. Публікуємо записи ресурсів DNS для домену.

Для Google Domains все робиться досить швидко та легко. Необхідно увійти в обліковий запис, вибрати потрібний домен і перейти через меню до розділу DNS. Тут потрібно внизу активувати набір DNSSEC. Після цього зона автоматично отримає підпис, а через добу зміни набудуть чинності.

Для інших серверів доменних імен алгоритм дій може відрізнятися, тому рекомендуємо з цим питанням звернутися до постачальника послуг. На цьому ми закінчуємо наш матеріал. Дякую за увагу!