DNSSEC

Domēna vārdu sistēma (DNS – Domain Name System) ir pārdomāta, efektīva un nodarbojas ar “tulkošanu” – tulkojot cipariskās adreses cilvēkiem vieglāk saprotamās vārdiskās  adresēs. Ir gan viens āķis – DNS nesniedz informāciju par sniegto datu autentiskumu, jo DNS atbilde tiek sniegta nevalidējot avotu. Šai problēmai uzmanība tika pievērsta 2008. gadā, kad Dans Kaminskis (Dan Kaminsky skat. attēlā) atklāja tā saukto Kaminska defektu jeb cache ievainojamību.

Uzbrukuma gadījumā lietotāja pieprasījumu atvērt kādu tīmekļa vietni pārtver hakeris, kurš uzņēmuma īstās vietnes vietā lietotāju novirza  uz savu lapu. Vizuāli jaunās lapas adrese būs tieši tāda pati, kādu pieprasījis lietotājs. Interneta lapa būs nokopēta, bet ar mazām izmaiņām, kas pildīs hakera kabatas.

1997. gadā tika uzsākts darbs pie esošās DNS sistēmas paplašinājuma – DNSSEC (Domain Name System Security Extension), kas atrisina iepriekš minēto  DNS ievainojamību. Laika gaitā DNSSEC ir pārdzīvojis vairākas iterācijas un tagad ir starptautiski atzīts par drošu un stabilu risinājumu.

DNSSEC nodrošina DNS datu autentifikāciju un ļauj pārliecināties, ka DNS atbildes saturs nav mainīts.

Interneta pārlūkprogrammas jau iekļauj tehnoloģiju, kas izstrādāta, lai garantētu drošu datu apmaiņu starp lietotāju un interneta vietni. Datu apmaiņa tiek šifrēta, izmantojot  TLS (Transport Layer Security). DNSSEC nav izstrādāts, lai aizvietotu šo TLS šifrēšanu, taču lai to papildinātu un novērstu lietotāju nokļūšanu nepareizajā vietnē pat pirms savienošanos nodrošina TLS.

Ar DNSSEC nodrošināti resursu ieraksti izmanto asimetrisko kriptogrāfijas parakstīšanas algoritmus, lai izveidotu tā saukto „uzticamības ķēdi” publiskajā DNS kokā. Uzticamība aizsākas saknes zonā un seko tam pašam deleģēšanas procesam, kāds ir domēna vārdu reģistrācijai.

Tas nozīmē, ka DNSSEC ir kā garantija, ka lietotājam tiek attēlota tikai tā mājaslapa, kuru viņš ir pieprasījis.

 

X6.LV