Для всех клиентов облачного хостинга теперь доступна технология DNSSEC. Теперь наши клиенты защищены от подмены DNS-запросов и различных атак, построенных на этом.
Немного о DNS
Изначально Domain Name System(DNS) разрабатывался для создания масштабируемых распределенных систем и получения информации о доменах. По сути это огромная распределенная база данных хранящаяся на иерархической структуре DNS-серверов. Благодаря DNS нам не требуется запоминать IP адреса любимых сайтов, вместо этого мы набираем символьные названия.
Если подменить на одном из DNS-серверов IP адреса на поддельные, то все клиенты, обратившиеся к данному серверу попадут на вредоносный сайт. Специфика работы DNS такова, что такого рода атаку провести довольно легко.
Дело в том, что для ускорения работы при обмене информации о местонахождении того или иного сайта между DNS-серверами данные кэшируются, но при этом достоверность полученной информации подтверждалось двухбайтовым идентификатором запроса.
Об этой уязвимости стало известно еще в 1990-ом году благодаря Стиву Белловину, с начала 2000-х годов велась разработка способов борьбы, а с 2010 года - активно внедряются расширения безопасности DNS(Domain Name System Security Extension, DNSSEC).
Немного о DNSSEC
Принцип работы DNSSEC основывается на добавлении цифровой подписи ответов DNS-серверов, что гарантирует истинность и целостность полученных данных. При этом сами данные не шифруются. К каждой записи информации о сайте добавляется цифровая подпись, сформированная секретным ключом. Таким образом получается, что проверить сами данные на истинность возможно всем, а для создания своей цифровой подписи требуется непосредственно сам секретный ключ. Получить его или подобрать злоумышленникам практически не возможно.
Особенности DNSSEC
- косвенно препятствует DoS атакам
- защищает от атак на DNS-сервера, например DNS cache poisoning
- гарантирует целостность и истинность полученных данных
- не обеспечивает конфиденциальность данных, т.е. не шифрует данные
- совместим с ранними версиями системы DNS
- часть новых зон(.indi) пока не имеют цифровых подписей и использование DNSSEC бессмысленно
Как подключить DNSSEC
1) Cоздать тикет в свободной форме в биллинге, с указанием домена к которому необходимо подключить услугу.
2) В разделе Домены — Доменные имена выделите домен и нажмите кнопку Изменить. Включите опцию Подписать домен. Подписание доменной зоны доступно всем пользователям панели.
3) После подписи домена передайте DS-записи в родительскую зону. Информация об основных параметрах ключей и их записях DNSKEY и DS отображается на странице Параметры DNSSEC: раздел Домены — Доменные имена — выделить домен — кнопка DNSSEC. Чтобы не забывать о публикации записей родительской зоне, включите уведомления в разделе Настройки — Почтовые уведомления.