DNSSEC beállítása

Az interneten található erőforrások egyszerű azonosítása érdekében az erőforrások mögöttes numerikus címeit ember által olvasható karakterláncok jelölik. E karakterláncok számokká történő átalakítását az elosztott hierarchikus tartománynévrendszer (DNS) végzi. Az 1983-as megtervezése óta a számítástechnika és a hálózatok egyre kifinomultabbá válása miatt ez a "telefonkönyv" támadhatóvá vált. Konkrétan a támadók képesek meghamisítani a DNS-hez intézett lekérdezésekre adott válaszokat, így lehetővé téve a támadók számára, hogy a végfelhasználókat a saját ellenőrzésük alatt álló webhelyekre irányítsák át (fiók- és jelszógyűjtés céljából), anélkül, hogy erről értesülnének.

E fenyegetésekre válaszul a nemzetközi szabványügyi szervezet, az IETF kifejlesztette a DNSSEC-et, hogy kriptográfiai úton biztosítsa, hogy a DNS-tartalmat ne lehessen a forrásból észrevétlenül módosítani. A DNSSEC teljes körű bevezetése után a támadóknak nem lesz lehetősége arra, hogy a DNS-t használó felhasználókat átirányítsák. Az internetszolgáltatók és a vállalatok számára különösen érdekes, hogy a DNSSEC megakadályozza a DNS-feloldó tömeges átirányítását (más néven cache-mérgezés).

A DNSSEC úgy működik, hogy minden egyes DNS-rekordot digitálisan aláír, így a rekordok bármilyen manipulációja felismerhetővé válik. A digitális aláírások és a létrehozásukhoz használt kulcsok ugyanúgy kerülnek terjesztésre, mint a DNS többi rekordja, így a DNSSEC visszafelé kompatibilis. A DNS-hierarchia minden egyes rétegében a kulcsokat az előző réteg kulcsai írják alá, ami gyakorlatilag garantálja őket, ahogyan a domainneveket is delegálják egyik rétegről a másikra. Ez a "bizalmi lánc" a DNSSEC által védett rekordokat kísérő digitális aláírások érvényesítésére szolgál a változások észlelése érdekében.

forrás: https://www.icann.org