Нашим клиентам доступна технология DNSSEC

18 июля 2018 551 Просмотров

Для всех клиентов облачного хостинга теперь доступна технология DNSSEC. Теперь наши клиенты защищены от подмены DNS-запросов и различных атак, построенных на этом.

Немного о DNS

Изначально Domain Name System(DNS) разрабатывался для создания масштабируемых распределенных систем и получения информации о доменах. По сути это огромная распределенная база данных хранящаяся на иерархической структуре DNS-серверов. Благодаря DNS нам не требуется запоминать IP адреса любимых сайтов, вместо этого мы набираем символьные названия.

Если подменить на одном из DNS-серверов IP адреса на поддельные, то все клиенты, обратившиеся к данному серверу попадут на вредоносный сайт. Специфика работы DNS такова, что такого рода атаку провести довольно легко.

Дело в том, что для ускорения работы при обмене информации о местонахождении того или иного сайта между DNS-серверами данные кэшируются, но при этом достоверность полученной информации подтверждалось двухбайтовым идентификатором запроса.

Об этой уязвимости стало известно еще в 1990-ом году благодаря Стиву Белловину, с начала 2000-х годов велась разработка способов борьбы, а с 2010 года - активно внедряются расширения безопасности DNS(Domain Name System Security Extension, DNSSEC).

Немного о DNSSEC

Принцип работы DNSSEC основывается на добавлении цифровой подписи ответов DNS-серверов, что гарантирует истинность и целостность полученных данных. При этом сами данные не шифруются. К каждой записи информации о сайте добавляется цифровая подпись, сформированная секретным ключом. Таким образом получается, что проверить сами данные на истинность возможно всем, а для создания своей цифровой подписи требуется непосредственно сам секретный ключ. Получить его или подобрать злоумышленникам практически не возможно.

Особенности DNSSEC

  • косвенно препятствует DoS атакам
  • защищает от атак на DNS-сервера, например DNS cache poisoning
  • гарантирует целостность и истинность полученных данных
  • не обеспечивает конфиденциальность данных, т.е. не шифрует данные
  • совместим с ранними версиями системы DNS
  • часть новых зон(.indi) пока не имеют цифровых подписей и использование DNSSEC бессмысленно

Как подключить DNSSEC

1) Cоздать тикет в свободной форме в биллинге, с указанием домена к которому необходимо подключить услугу.

2) В разделе ДоменыДоменные имена выделите домен и нажмите кнопку Изменить. Включите опцию Подписать домен. Подписание доменной зоны доступно всем пользователям панели.

3) После подписи домена передайте DS-записи в родительскую зону. Информация об основных параметрах ключей и их записях DNSKEY и DS отображается на странице Параметры DNSSEC: раздел Домены — Доменные имена — выделить домен — кнопка DNSSEC. Чтобы не забывать о публикации записей родительской зоне, включите уведомления в разделе Настройки — Почтовые уведомления.