DNSSEC

DNSSEC är en funktion som gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Med DNSSEC signeras DNS-uppslagningar med kryptografiska nycklar och på så sätt säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen.

English version available here.

DNSSEC är ett tillägg som erbjuds av många registrarer (återförsäljare av domännamn) för både .se och .nu. Det är det enda riktigt effektiva sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas. Är du intresserad av att säkra din egen domän, vänd dig till din registrar för mer information.

En uppdaterad lista över .se- registrarer som erbjuder DNSSEC hittar du här.

En uppdaterad lista över .nu-registrarer som erbjuder DNSSEC hittar du här.

Tjänsten innebär att IIS ger domäninnehavare möjlighet att publicera DS-poster (kondensat av domänens DNSSEC-nycklar) i .se-zonen respektive .nu-zonen och att IIS går i god för dem enligt IIS DNSSEC Säkerhetsdeklaration för .se respektive IIS DNSSEC Säkerhetsdeklaration för .nu.

Det är genom uppslagningar i domännamnssystemet DNS som det går att hitta fram till rätt dator på internet när man till exempel surfar eller skickar e-post till en viss webbadress. DNS är en gigantisk databas som översätter domännamn till IP-adresser, det vill säga de unika nummerserier som identifierar internetuppkopplade datorer. Man kan likna det vid hur en telefonkatalog ”översätter” namn till telefonnummer.

Brister i säkerheten

När DNS skapades på 1980-talet var huvudtanken att minimera den centrala administrationen av nätverket och göra det lätt att koppla upp nya datorer till internet. Däremot fäste man ingen större vikt vid säkerheten. Bristerna på detta område har öppnat för olika typer av missbruk och attacker där svaren på DNS-uppslagningar förfalskas. På så vis kan internetanvändare ledas fel, exempelvis i syfte att lura av dem känslig information som lösenord och kreditkortsnummer.

DNSSEC är en utökning av DNS i syfte att göra säkrare uppslagningar av internetadresser för exempelvis webb och e-post. Den ökade betydelsen av DNS har gjort DNSSEC allt mer aktuellt med åren.

Att internets rotzon signerades sommaren 2010 satte fart på spridningen av DNSSEC. Eftersom rotzonen är toppen av DNS-hierarkin är det därmed enklare för de underliggande toppdomänerna att införa DNSSEC. I samband med att ICANN 2013 inledde processen med att godkänna ett stort antal nya toppdomäner som alla har som obligatoriskt krav att de ska vara signerade med DNSSEC gör att spridningen ökar än mer.

DNSSEC skyddar mot attacker

Många andra internetprotokoll är beroende av DNS, men DNS-information i resolvrarna har kommit att bli så sårbar för attacker att den inte längre går att lita på. Den ökade säkerhet som DNSSEC tillför gör att många attacker inte längre får någon effekt.

Även om man så gott det går försöker täppa till säkerhetshål med de program och verktyg som används vid DNS-uppslagningar, ligger grundproblemet i hur DNS fungerar.  Det råder ingen tvekan om att DNS behöver bli säkrare. DNSSEC är en långsiktig lösning som skyddar mot flera olika typer av manipulering av DNS-frågor och -svar under kommunikationen mellan olika servrar i domännamnssystemet.

Farmning och cacheförgiftning

Några av de mest kända och största hoten mot DNS är cacheförgiftning (cache poisoning) och farmning (pharming).

Cacheförgiftning innebär att en situation skapas, antingen genom en attack eller oavsiktligt, som förser en namnserver med DNS-data som inte kommer från en auktoritativ källa. Ett av de mest välkända exemplen på detta är den under 2008 mycket uppmärksammade Kaminskybuggen.

Farmning innebär att någon får själva innehållet i DNS att peka på felaktiga servrar. Rent konkret innebär det att en webbadress för exempelvis en bank kan pekas om till en helt annan webbserver, men för besökaren ser det fortfarande i adressfältet ut som att det är rätt server i andra änden.

Vad DNSSEC skyddar mot

DNSSEC används för att säkra DNS från missbruk och man-in-the-middle-attacker som cacheförgiftning.

DNSSEC innebär att användaren, när han gör en uppslagning i DNS, genom validering av signaturer ska kunna avgöra om informationen som denne får tillbaka som svar kommer från rätt källa och om den har manipulerats på vägen. Det blir alltså svårt att förfalska information i DNS som är signerad med DNSSEC utan att det upptäcks.

För gemene man innebär DNSSEC en minskad risk för att bli utsatt för bedrägerier vid till exempel bankaffärer eller shopping på nätet, eftersom det blir lättare för användaren att fastställa att man verkligen kommunicerar med rätt bank eller butik och inte någon bedragare.

Det är dock viktigt att notera att DNSSEC inte stoppar alla typer av bedrägerier. Funktionen är endast konstruerad för att förhindra attacker där angriparen manipulerar svar på DNS-frågor för att uppnå sitt mål.

Vad DNSSEC inte skyddar mot

Fortfarande finns det flera andra säkerhetsbrister och problem på internet som DNSSEC inte löser, till exempel överbelastningsattacker, så kallad Distributed denial of service (DDOS).

När det gäller såväl nätfiske (phishing, sidor som liknar eller är identiska med originalet för att lura till sig lösenord och personuppgifter) som farmning (pharming, omdirigering av DNS-förfrågan till fel dator) och andra liknande attacker mot DNS, så ger DNSSEC ett visst skydd mot detta. DNSSEC skyddar inte mot attacker på andra nivåer, till exempel attacker på IP- eller nätnivå.

IIS tidigt ute

IIS har med åren fått stort internationellt genomslag för sitt arbete med säkrare DNS-uppslagningar.

Redan hösten 2005 signerade IIS som första landstoppdomän i världen sin zon med DNSSEC och var även först med att 2007 erbjuda DNSSEC till alla domäninnehavare av .se-domäner. Vi erbjuder också samma funktion för innehavare av .nu-domäner.

IIS arbete med DNSSEC för ett säkrare domännamnssystem har bidragit till att ett ökat fokus hamnat på DNS och DNS-drift. Den som har för avsikt att göra sin DNS-infrastruktur säkrare genom att använda DNSSEC inser tämligen snabbt att införandet inte låter sig göras med mindre än att först göra en översyn av den egna DNS-infrastrukturen som helhet.

Här hittar du vår vägledning för införande av DNSSEC (PDF).

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.