Web zase o krůček bezpečnější: DNSSEC

Na bezpečnosti našich čtenářů nám záleží, a jelikož stráž před školu a osobní ochranku každému z vás opravdu sehnat nemůžeme, snažíme se dělat maximum alespoň ve virtuálním světě na našem webu.

SSL certifikát na šifrování přenosu si sice zatím nemůžeme z finančních důvodu dovolit, ale to neznamená, že nikdy nebude. Dnes (5.11. 2015) v 00:00  jsme však zavedli DNSSEC, čili ochranu proti podvrhnutí DNS záznamů. A protože jste z poslední věty moudří asi jako já z názvosloví hydridů a podvojných oxidů, pokusím se vám to vysvětlit pěkně pomaloučku a srozumitelně.

Co je to DNS?

DNS, Domain Name System je nečekaně systém serverů, který překládá doménové jména na číselné IP.  Pokud tedy zadáte do svého prohlížeče adres http://google.com váš prohlížeš se nejdříve zeptá DNS serveru vašeho poskytovatele: „Co je google.com?“ DNS server poskytovatele vašeho internetového připojení zkontroluje své záznamy, najde-li tam danou adresu odpoví: „google.com = 216.58.216.238“, nenajde-li tento záznam, dotáže se jednoho z centrálních DNS serverů, který provozuje například právě Google a od něj získá danou adresu, kterou následně přepošle vašemu počítači a sám si ji uloží. Pokud si chcete vyzkoušet, že vám nelžu a chcete si vyzkoušet život na internetu bez DNS, zkuste do adresního řádku prohlížeče zadat http://216.58.216.238. A pokud jste jako většina lidí v dnešní době závislí na sociálních sítích, použijte místo oblíbeného Facebook.com nebo Fb.com raději adresu: http://173.252.90.6.

K čemu tedy DNSSEC?

Asi se shodneme na tom, že DNS je pro dnešní internet klíčové, a že si nikdo z nás nehodlá pamatovat 173.252.90.6 místo Facebook.com. A k čemu je tedy DNSSEC? Každý dotaz, který jde přes síť internet je potencionálně napadnutelný, ukradnutelný a  změnitelný. Stejně tak jsou na tom servery, žádný systém není dokonalý a vždy se dá nějak nabourat. V případě, že někdo napadne DNS server vašeho poskytovatele, může změnit jakýkoliv záznam, a tak vám podvrhnout obsah, který načtete. Může se tedy stát, že místo odpovědi „Google.com = 216.58.216.238“  dostanete třeba „Google.com = 204.79.197.200“ nebo jakoukoliv jinou číselnou adresu, která patří útočkníkovi. A vzhledem k tomu, že příkladová změna z google.com na http://204.79.197.200 by pro vás nebyla moc příjemná, je DNSSEC opravdu potřeba.

Na obrázku níže vidíte schéma fungování čistého DNS (zelená linie), a co se stane, když je napadeno a záznam je podvržen útočníkem (červená linie).

napadené čisté DNS

Jak to funguje?

Celé fungování DNSSEC je složité, a opravdu vám ho nelze pospat celé přesně a podrobně ve srozumitelné formě a čitelné délce. Při jeho aktivace se zkrátka vygenerují šifrovací klíče, kterými se podepíší pravé DNS záznamy, dojde k jejich zašifrování a nezle je podvrhnout jelikož při pokusu o jejich změnu by musel útočník znát jak tajný, tak veřejný klíč, k čemuž nemá šanci. Vaše spojení je tedy chráněné, a máte jistotu, že pod danou doménou vždy načtete obsah, který požadujete. Bohužel, i přes závažnost tohoto problému většina neprofesionálních webů DNSSEC nemá, bu´d za to může jejich lenost, nebo špatná volba poskytovatele webového prostoru, který nepodporuje toto zabezpečení a není jim ochotný vygenerovat potřebné klíče.

 

Pro zvědavce přikládám trochu podrobnější nákres:DNSSEC - schéma

Doufám, že jsem vám dokázal tento problém co nejlépe vysvětlit a srozumitelně podat. Záleží nám na vaší bezpečnosti a naší reputaci, proto jsme rádi, že se na našem webu můžete cítit zas o trošku bezpečněji, a navíc odcházet zase trošku více chytřejší. Pokud vás toto téma více zajímá, nebo jste ho v mém podání nepochopili, doporučuji navštívit tuto  stránku spravovanou sdružením CZ.NIC.

Šimon Čecháček, 5.A8
Technik a webmaster S-Tisku

 

 

 

Reference:

Obrázky:

1) Schéma napadeného DNS [online]. Online: CZ.NIC, 2015, 2015 [cit. 2015-11-04]. Dostupné z:http://www.dnssec.cz/files/nic/img/napadeni_DNS_60.png

2) Schéma DNSSEC [online]. Online: CZ.NIC, 2015, 2015 [cit. 2015-11-04]. Dostupné z:http://www.dnssec.cz/files/nic/img/dnssec_overovani_90.png

 

Text:

1) O DNSSEC [online]. Online: CZ.NIC, 2015, 2015 [cit. 2015-11-04]. Dostupné z:http://www.dnssec.cz

2) Jak funguje DNSSEC [online]. Online: CZ.NIC, 2015, 2015 [cit. 2015-11-04]. Dostupné z:http://www.dnssec.cz/page/444/jak-funguje-dnssec/

3) DNS: Domain Name System. Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2015, 12. 10. 2015 [cit. 2015-11-04]. Dostupné z:https://cs.wikipedia.org/wiki/Domain_Name_System

 

 

Napsat komentář