DNSSEC

DNSSEC är en funktion som gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Med DNSSEC signeras DNS-poster med kryptografiska nycklar och på så sätt säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen

DNSSEC är ett tillägg som erbjuds av många registrarer (återförsäljare av domännamn) för både .se och .nu. Det är det enda riktigt effektiva sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas. Är du intresserad av att säkra din egen domän, vänd dig till din registrar för mer information.

En uppdaterad lista över .se- och .nu-registrarer som erbjuder DNSSEC hittar du här.

Tjänsten innebär att Internetstiftelsen ger domäninnehavare möjlighet att publicera DS-poster (kondensat av domänens DNSSEC-nycklar) i .se-zonen respektive .nu-zonen och att Internetstiftelsen går i god för dem enligt Internetstiftelsens DNSSEC Säkerhetsdeklaration för .se och .nu.

Brister i säkerheten

Det är genom uppslagningar i DNS som det går att hitta fram till rätt dator på internet när man till exempel surfar till en webbadress eller skickar e-post. DNS är en gigantisk databas som översätter domännamn till IP-adresser, det vill säga de unika nummerserier som identifierar internetuppkopplade datorer. Man kan likna det vid hur en telefonkatalog "översätter" namn till telefonnummer.

När DNS skapades på 1980-talet var huvudtanken att minimera den centrala administrationen av nätverket och göra det lätt att koppla upp nya datorer till internet. Däremot fäste man ingen större vikt vid säkerheten. Bristerna på detta område har öppnat för olika typer av missbruk och attacker där svaren på DNS-uppslagningar förfalskas. På så vis kan internetanvändare ledas fel, exempelvis i syfte att lura av dem känslig information som lösenord och kreditkortsnummer.

DNSSEC är en utökning av DNS i syfte att göra säkrare uppslagningar av internetadresser för exempelvis webb och e-post. Den ökade betydelsen av DNS har gjort DNSSEC allt mer aktuellt med åren.

Att internets rotzon signerades sommaren 2010 satte fart på spridningen av DNSSEC. Eftersom rotzonen är toppen av DNS-hierarkin är det därmed enklare för de underliggande toppdomänerna att införa DNSSEC. 2013 inledde ICANN även processen med att godkänna ett stort antal nya toppdomäner, som alla har som obligatoriskt krav att de ska vara signerade med DNSSEC, vilket medför att spridningen ökar än mer.

DNSSEC skyddar mot attacker

Många andra internetprotokoll är beroende av DNS, men de DNS-servrar som gör namnuppslag har kommit att bli så sårbara för attacker att den information de innehåller inte längre går att lita på fullt ut. Den ökade säkerhet som DNSSEC tillför gör att många attacker mot dessa servrar inte längre är effektiva.

Även om man så gott det går försöker täppa till säkerhetshål med de program och verktyg som används vid DNS-uppslagningar, ligger grundproblemet i hur DNS fungerar. Det råder ingen tvekan om att DNS behöver bli säkrare. DNSSEC är en långsiktig lösning som skyddar mot flera olika typer av manipulering av DNS-frågor och -svar under kommunikationen mellan olika servrar i domännamnssystemet.

Farmning och cacheförgiftning

Några av de mest kända och största hoten mot DNS är cacheförgiftning (cache poisoning) och farmning (pharming).

Cacheförgiftning innebär att en namnserver förses med DNS-data som inte kommer från en auktoritativ källa, antingen genom en attack eller oavsiktligt. Ett av de mest välkända exemplen på detta är den under 2008 mycket uppmärksammade Kaminskybuggen.

Farmning innebär att någon får själva innehållet i DNS att peka på felaktiga servrar. Rent konkret innebär det att en webbadress för exempelvis en bank kan pekas om till en helt annan webbserver, men för besökaren ser det fortfarande i adressfältet ut som att det är rätt server i andra änden.

Vad DNSSEC skyddar mot

DNSSEC används för att säkra DNS från missbruk och man-in-the-middle-attacker som cacheförgiftning.

DNSSEC innebär att en användaren som gör en uppslagning i DNS, genom validering av de signaturer som läggs till i DNSSEC-säkrade domäner, ska kunna avgöra om informationen som denne får tillbaka som svar kommer från rätt källa och om den har manipulerats på vägen. Det blir alltså svårt att förfalska information i DNS som är signerad med DNSSEC utan att det upptäcks.

För gemene man innebär DNSSEC en minskad risk för att bli utsatt för bedrägerier vid till exempel bankaffärer eller shopping på nätet, eftersom det blir lättare för användaren att fastställa att man verkligen kommunicerar med rätt bank eller butik och inte någon bedragare.

Det är dock viktigt att notera att DNSSEC inte stoppar alla typer av bedrägerier. Funktionen är endast konstruerad för att förhindra attacker där angriparen manipulerar svar på DNS-frågor för att uppnå sitt mål.

Vad DNSSEC inte skyddar mot

Fortfarande finns det flera andra säkerhetsbrister och problem på internet som DNSSEC inte löser, till exempel överbelastningsattacker, så kallad Denial of Service (DOS) eller Distributed Denial of Service (DDOS) attacker.

När det gäller såväl nätfiske (phishing, sidor som liknar eller är identiska med originalet för att lura till sig lösenord och personuppgifter) som farmning (pharming, omdirigering av DNS-förfrågan till fel dator) och andra liknande attacker mot DNS, så ger DNSSEC ett visst skydd. Däremot skyddar DNSSEC inte mot attacker på andra nivåer, till exempel attacker på IP- eller nätnivå.

Internetstiftelsen tidigt ute

Internetstiftelsen har med åren fått stort internationellt genomslag för sitt arbete med säkrare DNS-uppslagningar.

Redan hösten 2005 signerade Internetstiftelsen som första landstoppdomän i världen sin zon med DNSSEC och var även först med att 2007 erbjuda DNSSEC till alla domäninnehavare av .se-domäner. Vi erbjuder också samma funktion för innehavare av .nu-domäner.

Internetstiftelsens arbete med DNSSEC för ett säkrare domännamnssystem har bidragit till att ett ökat fokus hamnat på DNS och DNS-drift. Den som har för avsikt att göra sin DNS-infrastruktur säkrare genom att använda DNSSEC inser tämligen snabbt att införandet inte låter sig göras med mindre än att först göra en översyn av den egna DNS-infrastrukturen som helhet.

Här hittar du vår vägledning för införande av DNSSEC i kommuner och motsvarande verksamheter.

Ladda hem