DNSSEC_microsoft

Därför ska ni införa DNSSEC

DNSSEC är en funktion som gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet, internets vägvisare. .SE är en föregångare inom området och har signerat den svenska toppdomänen sedan 2005. Den högsta nivån i domännamnssystemet, internets rotzon, är signerad sedan 2010.

Internets adresseringssystem som översätter mellan användarvänliga domännamn (som till exempel riksdagen.se) och datorers mer svårhanterade IP-adresser (för riksdagen.se – 193.11.1.138) kallas domännamnssystemet (DNS) och har använts i 30 år. Systemet är genialt enkelt och stabilt i sin uppbyggnad. Grundtanken är en distribuerad databas som tillhandahålls via ett nätverk av tusentals namnservrar, var och en ansvarig för att hänvisa användare på internet i rätt riktning så att de når dit de vill komma.

Det är dock möjligt för tekniskt kunniga och illasinnade aktörer att kapa ett domännamn och dirigera om trafiken. Det innebär att trots att användaren knappat in rätt webbadress kommer denne inte till rätt webbsida. Det är svårt att säga hur vanligt det är, men vi vet att det förekommer. I dag när viktiga funktioner som internetbanker och samhällstjänster förlitar sig på internet som kanal finns ett behov att höja säkerheten i DNS och svaret på det är DNSSEC.

Vad skyddar DNSSEC mot?

Falsk DNS-information öppnar möjligheter att stjäla information från andra eller att störa transaktioner av olika slag. För gemene man innebär DNSSEC en minskad risk för att bli utsatt för bedrägerier vid till exempel bankaffärer eller shopping på nätet, eftersom det blir lättare för användaren att fastställa att man verkligen kommunicerar med rätt bank eller butik och inte någon bedragare. Här kan ni se en kort film som förklarar DNSSEC:

I dag är en attack på DNS med förfalskad information mycket svår att upptäcka och i praktiken omöjlig att skydda sig mot. Syftet med DNSSEC är att säkerställa innehållet i DNS. DNSSEC innebär att användarens namnserver när den gör en uppslagning i DNS kan avgöra om informationen som kommer tillbaka som svar kommer från rätt källa, eller om den har manipulerats på vägen. Det är alltså mycket svårt att förfalska information i DNS som är signerad med DNSSEC utan att det upptäcks. Men det förutsätter att signaturen valideras, det vill säga att äktheten kontrolleras.

Vad innebär det att införa DNSSEC?

DNSSEC består av två viktiga moment. Signering och validering.

Det går till så att när DNSSEC signerar DNS-uppslagningar kryptografiskt kontrolleras de hos mottagaren och på så sätt säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen mellan namnservrar på internet. För närvarande är drygt 25 procent av alla .se-domäner signerade med DNSSEC, vilket är en bra siffra. Den skulle förstås vara mycket högre om det vore så att alla verkligen förstod hur viktigt det är.

Om ingen signerar så finns inget DNSSEC och DNS kan ganska enkelt manipuleras.

Om ingen kontrollerar att DNSSEC-signaturen är äkta är det meningslöst att signera.

Det vanligaste i dag är att det är Internetoperatören som validerar signaturer åt sina kunder eftersom de också tillhandahåller DNS-resolver för ändamålet och för kundens räkning.

Det innebär att DNS-resolvern kontrollerar DNS-data innan den skickar svaret till användaren – om signaturen inte går att validera blir det inget svar – servfail.

Vi är lyckligt lottade i Sverige då de allra flesta Internetoperatörer har slagit på validering på sina resolvrar, vilket innebär att det faktiskt är någon som kontrollerar att DNSSEC-signaturer är äkta. Google meddelade också för något år sedan att de har slagit på DNSSEC-validering som grundinställning för sin publika DNS-tjänst.

Globala mätningar visar att den genomsnittliga andelen DNSSEC-resolvrar hos slutanvändare som validerar DNSSEC-signaturer ökade från 3,3 procent till 8,7 procent mellan mars och juli 2013. I Sverige var och är fortfarande andelen omkring 80 procent.

DNS-infrastrukturen måste ha god kvalitet

En verksamhets DNS-infrastruktur ska följa aktuell standard och vara konstruerad på ett sätt som gör att den tillhandahåller en säker och robust tjänst med god nåbarhet vare sig man driver den själv eller har lagt ut driften på någon extern part.

Branschstandard som definierar ”god kvalitet” på DNS, innebär i korthet:

  • Att ha en robust DNS-infrastruktur med god nåbarhet.
  • Att alla inblandade namnservrar svarar på frågor korrekt.
  • Att domäner och servrar är korrekt uppsatta.
  • Att data i domännamnssystemet om enskilda domäner är korrekta och äkta.
  • Att domäner signeras med DNSSEC.
  • Att verksamheten uppfyller de krav som ställs i relevanta internet- och andra standarder.

Statligt initiativ

Några som har förstått vikten av DNSSEC är regeringen, MSB och PTS. De har vid flera tillfällen framfört budskapet till den offentliga förvaltningen: Inför DNSSEC i er IT-miljö. De har till och med satt en deadline för när det ska vara infört hos statliga myndigheter.

I dokumentet IT i människans tjänst – en digital agenda för Sverige skriver IT-minister Anna-Karin Hatt: ”Dessutom bör alla myndigheter senast 2013 använda sig av DNSSEC och vara nåbara med IPv6.” Det blev inte så.

MSB satte i sin nationella handlingsplan för samhällets informationssäkerhet 2012 också upp ett konkret mål: ”Att DNSSEC är infört hos merparten av de offentliga verksamheterna vid utgången av 2014”. MSB har dessutom lämnat direkt stöd i form av resurser för krisförebyggande åtgärder till kommunerna via länsstyrelserna.

Nu är vi inte där ännu, och status i juli 2014 tyder på att vi inte kommer att vara där heller vid utgången av året. 67 av 216 statliga myndigheters domäner är signerade. Motsvarande siffra för Sveriges kommuner är 119 av 290.

Förutom statliga myndigheter och kommuner finns det en rad branscher som tillhandahåller tjänster som är kritiska ur olika perspektiv; dessa är bank- och finanssektorn, media, internetoperatörer, webbhotell et cetera.

Senast jag tittade på data från Hälsoläget så var av 81 testade banker verksamma i Sverige endast tre signerade med DNSSEC. Kära banker, lägg lite resurser på att städa upp i er DNS-infrastruktur och sätt igång och signera.

Bland 36 testade mediaföretag var inte en enda domän signerad med DNSSEC. Dagens Nyheter, Svenska Dagbladet, Sveriges Radio, SVT med flera. Prata med den som sköter om er DNS-miljö och be dem signera era domäner.

Kära alla ni andra, gör det ni också.

Vad kan gå fel?

Att införa DNSSEC är inte alltid problemfritt.

  • Vissa fel i DNS syns bara i DNSSEC – och bara när man validerar.
  • Det har funnits flera fel i DNS-programvaror som bara gällt DNSSEC – och som har lett till störningar.
  • Programvaran för DNS måste uppdateras oftare.
  • Det är svårare att felsöka DNS med DNSSEC.
  • DNSSEC kräver nya saker att hålla reda på.
  • I vissa fall har olika DNS-programvaror inte fungerar ihop. Hur hittar man felet?

Det bästa är förstås att lära genom att göra. Gör det nu. Det blir inte lättare med tiden. DNS måste ni ändå kunna, det är en så viktig funktion så den kan inte ignoreras.

Är det dyrt att införa DNSSEC?

Nej, säger jag. Och hur kan jag säga det? Jo, några av de viktigaste förklaringarna är att:

  • Det finns fria programvaror för signering.
  • Uppgradering måste ändå göras ibland.
  • Det finns välspridda DNS-programvaror som stödjer validering.
  • Det krävs obetydligt mera hårdvara.
  • Det kräver inte så mycket extra skötsel.

Sätt igång

Det är ett faktum att DNSSEC är en nödvändighet för att höja säkerheten i DNS. Det är nödvändigt att gå igenom en övergångsfas där nyttan av DNSSEC uppfattas som begränsad – vi slipper ändå inte undan problemen. Det som alltid varit en fråga är vad som kommer först.

Utan signering i stor skala vill ingen validera.

Utan validering i stor skala så går inte arbetet framåt.

Därför behöver dessa båda gå parallellt, och där ligger vi som sagt bra till i Sverige.

För att göra det lite enklare har .SE publicerat en praktisk vägledning med rekommendationer om vad som behöver göras. Läs den, eller ge bort den till någon som borde läsa den. Den är gratis.

Tycker ni att jag har fel? Hör gärna av er med synpunkter och kommentarer. Och se till att slå på validering ni som ännu inte har gjort det.

 

Etiketter: , , , , , , , , , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.