Mi az a DNS?

Kezdjük a DNS-sel (a Domain Name System rövidítése), erről többet lehet hallani.

Az interneten található számítógépeket és ezáltal például a rajtuk levő tartalmakat elsődlegesen számok, az ún. IP címek azonosítják. Ugyanakkor pl. a 193.41.47.33 címet bajos lenne megjegyezni, az iszt.hu-t sokkal könnyebb. A DNS eredeti, elsődleges feladata pontosan ezeknek a számoknak és neveknek az összerendelése. A nevek és az IP címek összerendelésén túl azonban a DNS sokkal több információt rejt. A DNS minden internetes tevékenység – levelezés, böngészés, torrentezés vagy internetes telefonálás – működéséhez szükséges.

Mindez azért veszélyforrás, mert internetes kalózok pl. eltéríthetnek, meghamisíthatnak adatforgalmat, ezáltal tartalmat, megtéveszthetnek internet használókat és sok egyéb gazságot művelhetnek.

A DNS ellen az évtizedek során több jelentős sikeres támadást hajtottak végre, ezért a DNS-t védeni szükséges minden internetes tevékenység/szolgáltatás védelme érdekében.


Mi az a DNSSEC?

A fent leírt veszélyekkel szemben a DNSSEC segítségével az internetes szolgáltatók védekezhetnek minden DNS elleni támadás, üzenet hamisítás ellen. A DNSSEC fő ötlete, hogy a DNS válaszokat digitális aláírással látja el. Ilyen módon az üzenetek hitelességét (authenticity) és sértetlenségét (integrity) garantálja.

Ez garantálja pl. azt, hogy egy internet használó ténylegesen azt a weboldalt látogassa meg és azzal kommunikáljon, amelyikkel szeretett volna.

A DNSSEC a bizalmasságot (titkosítás, confidentiality) nem garantálja. Ugyanakkor, nemcsak a tényleges DNS rekordokat, hanem a „nincs ilyen” válasz hitelességét is garantálja digitális aláírás. Ha a „nincs ilyen” üzenetek nem lennének digitális aláírással ellátva, akkor ezek hamisításával egyszerűen lehetne DoS támadást végrehajtani, ellehetetleníteni nevek feloldását. A DNSSEC véd a cache mérgezéstől, véd a DNS válaszok menet közbeni hamisítása ellen.

A DNSSEC egy másik fontos ötlete, hogy maguk az aláírások is DNS rekordok. Ilyen módon a DNSSEC a DNS kiterjesztése.

A DNSSEC-nél az egyes zónákhoz tartozhat egy vagy több kulcspár. Ezen kulcsok titkos részével történik a rekordok aláírása, és a nyilvános részével az aláírások ellenőrzése. A kulcsok nyilvános része DNS rekordként jelenik meg.

Ha érdekli a téma, kollégánk részletes írását DNSSEC témában az alapoktól a haladóig itt találja: DNSSEC – elv és konfiguráció


A .hu alatt támogatott DNSSEC algoritmusok

A .hu TLD alatt a következő algoritmusokkal lehet aldomaint delegeálni, vagyis ilyen DNSSEC-kel védett regisztrációk lehetségesek:

SorszámNévMnemonikus kódPélda
3DSA/SHA1DSAisztteszt-3.hu
5RSA/SHA-1RSASHA1isztteszt-5.hu
6DSA-NSEC3-SHA1DSA-NSEC3-SHA1isztteszt-6.hu
7RSASHA1-NSEC3-SHA1RSASHA1-NSEC3-SHA1isztteszt-7.hu
8RSA/SHA-256RSASHA256info.hu
10RSA/SHA-512RSASHA512isztteszt-10.hu
13ECDSA Curve P-256 with SHA-256ECDSAP256SHA256isztteszt-13.hu
14ECDSA Curve P-384 with SHA-384ECDSAP384SHA384isztteszt-14.hu


Kapcsolódó cikkek