Check Your Site DNSSEC

Is your Internet up-to-date? Test your website


DNSSEC är en funktion som gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Med DNSSEC signeras DNS-poster med kryptografiska nycklar och på så sätt säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen

DNSSEC är ett tillägg som erbjuds av många registrarer (återförsäljare av domännamn) för både .se och .nu. Det är det enda riktigt effektiva sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas. Är du intresserad av att säkra din egen domän, vänd dig till din registrar för mer information.

Brister i säkerheten

Det är genom uppslagningar i DNS som det går att hitta fram till rätt dator på internet när man till exempel surfar till en webbadress eller skickar e-post. DNS är en gigantisk databas som översätter domännamn till IP-adresser, det vill säga de unika nummerserier som identifierar internetuppkopplade datorer. Man kan likna det vid hur en telefonkatalog ”översätter” namn till telefonnummer.

När DNS skapades på 1980-talet var huvudtanken att minimera den centrala administrationen av nätverket och göra det lätt att koppla upp nya datorer till internet. Däremot fäste man ingen större vikt vid säkerheten. Bristerna på detta område har öppnat för olika typer av missbruk och attacker där svaren på DNS-uppslagningar förfalskas. På så vis kan internetanvändare ledas fel, exempelvis i syfte att lura av dem känslig information som lösenord och kreditkortsnummer.

DNSSEC är en utökning av DNS i syfte att göra säkrare uppslagningar av internetadresser för exempelvis webb och e-post. Den ökade betydelsen av DNS har gjort DNSSEC allt mer aktuellt med åren.

Att internets rotzon signerades sommaren 2010 satte fart på spridningen av DNSSEC. Eftersom rotzonen är toppen av DNS-hierarkin är det därmed enklare för de underliggande toppdomänerna att införa DNSSEC. 2013 inledde ICANN även processen med att godkänna ett stort antal nya toppdomäner, som alla har som obligatoriskt krav att de ska vara signerade med DNSSEC, vilket medför att spridningen ökar än mer.

DNSSEC skyddar mot attacker

Många andra internetprotokoll är beroende av DNS, men de DNS-servrar som gör namnuppslag har kommit att bli så sårbara för attacker att den information de innehåller inte längre går att lita på fullt ut. Den ökade säkerhet som DNSSEC tillför gör att många attacker mot dessa servrar inte längre är effektiva.

Även om man så gott det går försöker täppa till säkerhetshål med de program och verktyg som används vid DNS-uppslagningar, ligger grundproblemet i hur DNS fungerar. Det råder ingen tvekan om att DNS behöver bli säkrare. DNSSEC är en långsiktig lösning som skyddar mot flera olika typer av manipulering av DNS-frågor och -svar under kommunikationen mellan olika servrar i domännamnssystemet.

Farmning och cacheförgiftning

Några av de mest kända och största hoten mot DNS är cacheförgiftning (cache poisoning) och farmning (pharming).

Cacheförgiftning innebär att en namnserver förses med DNS-data som inte kommer från en auktoritativ källa, antingen genom en attack eller oavsiktligt. Ett av de mest välkända exemplen på detta är den under 2008 mycket uppmärksammade Kaminskybuggen.

Farmning innebär att någon får själva innehållet i DNS att peka på felaktiga servrar. Rent konkret innebär det att en webbadress för exempelvis en bank kan pekas om till en helt annan webbserver, men för besökaren ser det fortfarande i adressfältet ut som att det är rätt server i andra änden.

Vad DNSSEC skyddar mot

DNSSEC används för att säkra DNS från missbruk och man-in-the-middle-attacker som cacheförgiftning.

DNSSEC innebär att en användaren som gör en uppslagning i DNS, genom validering av de signaturer som läggs till i DNSSEC-säkrade domäner, ska kunna avgöra om informationen som denne får tillbaka som svar kommer från rätt källa och om den har manipulerats på vägen. Det blir alltså svårt att förfalska information i DNS som är signerad med DNSSEC utan att det upptäcks.

För gemene man innebär DNSSEC en minskad risk för att bli utsatt för bedrägerier vid till exempel bankaffärer eller shopping på nätet, eftersom det blir lättare för användaren att fastställa att man verkligen kommunicerar med rätt bank eller butik och inte någon bedragare.

Det är dock viktigt att notera att DNSSEC inte stoppar alla typer av bedrägerier. Funktionen är endast konstruerad för att förhindra attacker där angriparen manipulerar svar på DNS-frågor för att uppnå sitt mål.

Vad DNSSEC inte skyddar mot

Fortfarande finns det flera andra säkerhetsbrister och problem på internet som DNSSEC inte löser, till exempel överbelastningsattacker, så kallad Denial of Service (DOS) eller Distributed Denial of Service (DDOS) attacker.

När det gäller såväl nätfiske (phishing, sidor som liknar eller är identiska med originalet för att lura till sig lösenord och personuppgifter) som farmning (pharming, omdirigering av DNS-förfrågan till fel dator) och andra liknande attacker mot DNS, så ger DNSSEC ett visst skydd. Däremot skyddar DNSSEC inte mot attacker på andra nivåer, till exempel attacker på IP- eller nätnivå.

https://internetstiftelsen.se/domaner/domannamnsbranschen/teknik/dnssec/

Contacts

Email: sales@buytrust.net
Phone: +46 734 332 070
VAT: SE559111819401