Что такое DNSSEC? |

Что такое DNSSEC? | Хостинг

Что такое dnssec

Система доменных имен (DNS) была придумана в 1980 годах. Именно ей мы обязаны возможностью переходить на сайты, вводя в строку браузера не IP-адреса, а буквенные имена. В 1990 годах в DNS была обнаружена серьезная уязвимость. Она позволяла мошенникам направить часть пользователей сайта на его копию либо вообще на другой сайт. При этом редкий пользователь мог заподозрить подвох, потому что в строке браузера был указан корректный адрес.

В 2005 году была разработана технология, которая устраняет уязвимости системы доменных имен. Она так и называется — «Расширенная безопасность DNS» (DNS Security Extensions, DNSSEC).

Что такое dnssec?

DNSSEC (Domain Name System Security Extensions, расширения безопасности DNS) — это надстройка над системой доменных имён, предназначенная для повышения безопасности пользователей Интернета. Её использование  предотвращает ряд атак, связанных с подменой реального адреса сайтов — фишинга, отравления DNS-кэша и др.

DNSSEC подразумевает использование цифровой подписи для каждой DNS-записи вашего домена. Подпись формируется и проверяется с помощью двух ключей: ключа подписи зоны (ZSK, zone signing key) и ключа подписи этого ключа (KSK, key signing key):

  • Ключ подписи зоны — секретный ключ (или закрытый ключ), хранится на вашем DNS-хостинге и используется для создания цифровой подписи записей.  
  • Ключ подписи ключа — открытый ключ, передаётся с DNS-хостинга на следующий уровень системы доменных имён (DNS-сервер доменной зоны). Он используется для проверки подлинности и целостности данных, подписанных закрытым ключом.

Оба ключа генерируются на DNS-хостинге, куда делегирован домен. 

При подключении DNSSEC отпечатки вашего открытого ключа в виде DS-записей передаются на более высокий уровень системы доменных имён — DNS-сервер доменной зоны. Если проще, то регистратору домена.  У него, как и у каждого следующего уровня системы DNS, есть свой набор из закрытого и открытого ключей. Открытый ключ вашей зоны подписывается закрытым ключом сервера доменной зоны — в дальнейшем это даёт возможность подтвердить его подлинность. 

Открытый ключ DNS-сервера доменной зоны тоже передаётся на уровень выше — корневому DNS-серверу. И там снова происходит подпись, уже закрытым ключом корневого сервера. Таким образом создаётся цепочка доверия: корневой сервер отвечает за проверку подлинности открытого ключа сервера доменной зоны, а тот отвечает за проверку ключа авторитативных серверов. 

Когда кто-то хочет перейти на сайт, DNS-запрос для определения его IP-адреса по имени домена проходит путь от корневого DNS-сервера до вашего DNS-хостинга, где и хранится вся нужная информация. За отправку таких запросов отвечает DNS-резолвер — специфически настроенный сервер, размещённый у интернет-провайдера. Он принимает запросы от устройств в сети и опрашивает все узлы системы доменных имён, чтобы вернуть запрошенные данные — IP-адреса искомых сайтов.

Этот DNS-резолвер по умолчанию содержит открытый ключ корневого сервера системы DNS, с которого начинается любой DNS-запрос. При запросе корневой сервер возвращает адрес сервера доменной зоны искомого домена и ранее переданный на него подписанный ключ этого сервера. Резолвер проверяет подлинность этих данных с помощью открытого ключа корневого сервера и, если проверка успешна, совершает новый запрос по полученному адресу.

При подключении к серверу доменной зоны (TLD, top level domain) DNS-резолвер получает открытый ключ этого сервера и сверяет его с полученным на корневом сервере. TLD-сервер по запросу тоже возвращает адрес и подписанный открытый ключ, но уже авторитативного сервера — как раз там и хранятся записи запрошенного домена, в том числе адрес. DNS-резолвер проверяет валидность данных с помощью полученного ранее открытого ключа и, если всё в порядке, совершает следующий запрос.

Читайте также:  Как перенести сайт на другой хостинг без хлопот 🌏

На авторитативном сервере всё повторяется — DNS-резолвер получает и проверяет открытый ключ, запрашивает и получает требуемые записи домена, проверяет их подпись. Если проверка успешно пройдена, в результате резолвер возвращает вашему устройству значения запрошенных записей домена.

Благодаря проверке подлинности получаемых данных на каждом уровне системы DNS и обеспечивается защита от подмены и повреждения данных. 

Несмотря на очевидные плюсы использования, у технологии есть свои нюансы: 

  • увеличивается время обработки и размер DNS-запросов;
  • увеличиваются требования к вычислительным ресурсам DNS-серверов;
  • у системы DNS есть ряд узких мест, которые DNSSEC не покрывает.

Поэтому, чтобы обеспечить максимальный уровень безопасности ваших доменов и сайтов, рекомендуем использовать сразу несколько механизмов защиты:

Signing a domain zone

To start using DNSSEC protection of your DNS zone, sign this zone. Plesk
signs the zone with an automatically generated signatures using two
pairs of asymmetric keys, the Key Signing Key (KSK) and the Zone Signing
Key (ZSK).

To sign a domain zone:

  1. Select the domain in Websites & Domains.

  2. Go to DNSSEC and click Sign the DNS Zone.

  3. If the zone has never been signed before, Plesk prompts you to
    generate the keys that will be used to create a signature.

    You can use the default values or specify custom values. See
    Recommended Values below.

  4. If you previously signed the DNS zone, you have the choice to use
    previously generated keys or generate new ones. If you opt for new
    keys, you can either use the default values or specify custom values.
    See Recommended Values below.

    Recommended values of KSK and ZSK generation settings:

  5. In the end of the signing procedure, Plesk displays DS records, which
    contain hashes of the Key Signing Keys used for signing the zone.

    Copy the DS resource records to Clipboard and then add them to the
    parent domain zone. See Updating the DS Records in the Parent Zone
    below.

Unsigning a domain zone

Unsigning a domain zone turns off DNSSEC protection for that zone. You
may need to unsign a zone if the keys were compromised, and then sign
the zone again using new keys.

To unsign a domain zone:

  1. Go to Websites & Domains > select a domain > DNSSEC and click
    Unsign.
  2. Delete the DS resource records from the parent zone. Otherwise, the
    domain will not resolve.

Note: When you unsign a zone, the keys are not deleted from Plesk. You can
sign the zone again using the same keys.

Updating the ds records in the parent zone

If the parent zone contains outdated DS records, the domain name is no
longer resolved by the DNS service.

You will need to manually add or update DS records in the parent domain
zone in all cases when DNSSEC keys were updated, namely:

  • You signed a domain zone using newly generated keys.
  • A KSK (Key Signing Key) rollover event took place.

Plesk sends you notifications and gives you some time to update the DS
records — this period of time is equal to one KSK rollover period.
During this period, the previous DS records are still valid.

If you unsigned the domain zone, you need to manually delete DS records
in the parent domain zone.

To update DS records in the parent zone:

For a domain in Plesk, whose parent zone is outside Plesk, update DS
records at the domain’s registrar.

For a subdomain of a domain hosted in Plesk and having the DNS zone in
Plesk:

  1. Go to DNS settings of the parent domain (Websites & Domains > go
    to the parent domain > DNS Settings).
  2. Add new records of the DS type (Add Record) and paste the
    values that Plesk displays in the DS resource records box in the
    DNSSEC settings of the subdomain.
Читайте также:  Что такое DNS? Объясняем простыми словами

Viewing dnskey resource records

You might need to retrieve DNSKEY resource records, which contain public
parts of Key Signing Keys used by a domain.

To display DNSKEY records:

  1. Go to Websites & Domains > select a domain > DNSSEC.
  2. Click View DNSKEY Records.

Бесплатный dns-хостинг и доменные имена, неограниченные записи — galaxydata

Мы обладаем знаниями сетевых технологий, виртуализации, Linux и многие другие знания, которые необходимы для поддержания отказоустойчивой среды для ваших проектов.

Защитите сайт от атак на dns-серверы с новой услугой dnssec!

Что такое DNSSEC? |Для компании shhost.ru, являющейся лидером на рынке регистрации доменных имён и услуг хостинга, важно, чтобы каждый из более чем 1 300 000 наших клиентов использовал только самые современные, надёжные и безопасные инструменты. Теперь пользователи услуги Premium DNS или поддержки DNS для доменов, находящихся на обслуживании у других регистраторов, могут подключить услугу DNSSEC. Новый сервис, в дополнение к SSL-сертификатам и защите от DDoS, позволяет получить дополнительную защиту от атак на DNS-серверы.

Успешная атака на DNS-серверы может привести к тому, что посетители вашего сайта не попадут на необходимую страницу, а будут перенаправляться на подставные ресурсы. В результате этого злоумышленники также смогут получить доступ к личной информации пользователя, в том числе к данным банковских карт. Такая ситуация может привести к большим репутационным и финансовым потерям. Услуга DNSSEC (Domain Name System Security Extensions) предоставляет возможность удостовериться в подлинности ответа от DNS-сервера и предотвращает загрязнение кэша DNS-серверов, перенаправление или подмену запросов.

Чтобы воспользоваться услугой DNSSEC, вам необходимо подключить сервис Premium DNS, если домен находится на обслуживании в shhost.ru. Для этого достаточно выполнить 3 простых шага:
1. Перейти на страницу услуги и нажать кнопку «Заказать Premium DNS».
2. Выбрать подходящий тарифный план.
3. Оплатить услугу подходящим способом.
Если ваше доменное имя находится на обслуживании у другого регистратора, воспользоваться новой функцией от shhost.ru можно, подключив услугу «Поддержка DNS». Обратите внимание, что услуга действует только для доменов .RU, .SU, .РФ. COM, .NET и .NAME.

Приобретите надёжный и проверенный сервис и обезопасьте ваш ресурс!

Заказать Premium DNS

Как работает dnssec

Если используется DNSSEC, один DNS-сервер будет проверять ответы другого DNS-сервера на корректность. Некорректные ответы будут вызывать ошибку.

DNSSEC подписывает ресурсные записи (о связке IP-адреса и доменного имени; псевдонимах и др.), используя криптографию. То есть к ресурсной записи добавляется цифровая подпись, сгенерированная по одному из определенных ICANN криптографических алгоритмов.

У цифровой подписи есть отпечаток. Он хранится в записях зоны верхнего уровня. С помощью этого отпечатка и открытого ключа другой DNS-сервер проверяет достоверность записей в зоне. Если проверка не проходит, сервер выдаёт ошибку и не переводит пользователей на сайт. Подробнее о работе технологии на сайте ICANN.

Как хакеры используют уязвимости dns

Бреши в безопасности системы доменных имен обусловлены ее природой. DNS-серверы сообщают друг другу информацию о нахождении того или иного сайта и для ускорения часто кешируют данные. То есть сохраняют сведения о его местонахождении у себя в памяти, чтобы лишний раз не делать запросы к другим серверам и работать быстрее.

Через уязвимость в конфигурации DNS злоумышленник может “отравить” кеш DNS-сервера: сообщить ему некорректные сведения о расположении сайта. DNS-сервер эти данные сохранит и будет направлять всех проходящих через него пользователей на сайт-подделку. Такой тип атаки называется “отравление кеша” или “атака Каминского” по имени открывшего ее исследователя безопасности.

Так как преобразование идет только для одного DNS-сервера, круг пострадавших пользователей ограничен, но все равно это могут быть тысячи людей.

Когда необходим dnssec

DNSSEC необходима для всех сайтов, в подделке которых могут быть заинтересованы злоумышленники. В первую очередь это сайты финансовых организаций и крупных интернет-магазинов, которые собирают персональные данные и данные банковских карт клиентов.

Направив пользователей на сайт-подделку, мошенники могут украсть данные, чтобы перепродать их или использовать для преступных целей. Под угрозой также сайты популярных медиа и блоги: они интересны прежде всего массовой аудиторией, на перехвате которой можно заработать.

Читайте также:  Plesk Tutorial | Plesk Obsidian documentation

Обращаемся к истокам

Мы уже уделяли время фундаментальному понятию DNS. Поскольку DNSSEC непосредственно закрывает недостатки функционирования системы доменных имен — обратимся к ее механизму еще раз.

Ограничения

По возможностямТехнология DNSSEC не защищает данные от перехвата и не защищает сайт от DDoS-атак. Для этих целей в ISPmanager есть другие инструменты: Let’s encrypt для подключения SSL, Cloudflare и DDoS-GUARD для защиты от DDoS-атак.

Подписание доменной зоны

Включите опцию Домены → Доменные имена → меню Что такое DNSSEC? |Изменить → Подписать домен и нажмите Ok. Запустится фоновый процесс подписания доменной зоны. В ходе процесса генерируются KSK и ZSK ключи. На время работы процесса в Домены → Доменные имена → столбец Состояние отображается иконка Что такое DNSSEC? |. При успешном подписании доменной зоны иконка изменится на Изменить → Подписать домен и нажмите Ok. Запустится фоновый процесс подписания доменной зоны. В ходе процесса генерируются KSK и ZSK ключи. На время работы процесса в Домены → Доменные имена → столбец Состояние отображается иконка Что такое DNSSEC? |. При успешном подписании доменной зоны иконка изменится на Что такое DNSSEC? |. Для домена становится доступной кнопка DNSSEC и отображается баннер «Есть неопубликованные DS-записи».

Подписание доменной зоны доступно пользователям с уровнем доступа «Пользователь» или «Администратор».

Проблемы в раю

Система доменных имен изначально не подразумевала применения механизмов защиты, поскольку создателями преследовались иные цели. Недостатки в DNS вскрылись спустя несколько лет после ее реализации и вылились в масштабные исследования после публикации Стивеном Беллоуином первой статьи на эту тему.

А настоящая шумиха поднялась в 2008 году, когда Дэн Камински показал, что может повлечь за собой незащищенность системы доменных имен. В чем же состоит проблема, которая взбудоражила интернет-сообщество? DNS оказалась уязвима для MITM-атаки (или «человек посередине»)

и отравления DNS-кэша. В итоге это приводит к перенаправлению на мошеннические сайты в результате использования поддельных данных. На данный момент у хакеров целый арсенал инструментов для того, чтобы нанести вред, если передача данных не защищена с помощью DNSSEC.

Проверка максимального значения ttl в доменной зоне

Для правильного обновления ключей нужно, чтобы максимальное значение TTL в доменной зоне имело значение менее 2 недель (1209600 секунд). Проверьте значения TTL ресурсных записей доменной зоны в Домены → Доменные имена → Управлять DNS-записями → столбец TTL, сек. По умолчанию TTL-зоны равно 1 часу (3600 секунд).

Создание цепочки доверия

Чтобы создать цепочку доверия, нужно передать DS-запись и, если требует регистратор, DNSKEY-записи в родительскую доменную зону. Эти записи доступны в Домены → Доменные имена → DNSSEC.

Для каждой записи из списка DS-записей отображаются данные:

  • Начало записи — включает наименование домена, класс и тип ресурсной DS-записи;
  • Тег — идентификатор ключа;
  • Алгоритм — идентификатор алгоритма шифрования;
  • Тип дайджеста — идентификатор типа отпечатка KSK-ключа;
  • Дайджест — содержимое отпечатка.

Показать DNSKEY — по нажатию кнопки отображается таблица DNSKEY-записей. Для каждой записи из списка DNSKEY-записей отображаются следующие данные:

  • Начало записи —  включает наименование домена, класс и тип ресурсной DNSKEY-записи;
  • Флаги — идентификатор типа ключа;
  • Протокол — номер протокола DNSSEC;
  • Алгоритм — идентификатор алгоритма шифрования;
  • Публичный ключ — открытая часть ключа;
  • Тег — идентификатор KSK-ключа.

Передача DS-записей осуществляется одним из следующих образов:

  1. Добавить записи через веб-интерфейс панели управления доменом у регистратора доменных имён. Скопируйте DS-записи из ISPmanager. Если у регистратора записи добавляются в виде строк, то объедините значения всех столбцов из таблицы DS-записей в ISPmanager, вставляя пробелы между ними. Если нужно, то также скопируйте DNSKEY-записи.
  2. Если доменная зона находится вместе с родительской зоной на одном и том же сервере под управлением ISPmanager, нажмите Передать DS-записи в родительскую зону.
  3. Если подписываемый домен является родительским для домена, находящегося на стороннем сервере, создайте DS-записи дочернего домена в записях родительского домена: Домены Доменные имена  Управлять DNS-записями Создать. Подробнее см. в статье Создание ресурсных записей доменной зоны.

Один раз в неделю ISPmanager проверяет наличие DS-записей в родительской зоне. Необходимо, чтобы было передано хотя бы по одной DS-записи для каждого KSK-ключа. Успешное прохождение проверки завершает процесс включения защиты DNSSEC. В Домены Доменные имена → столбец Состояние появится иконка Что такое DNSSEC? |

Оцените статью
Хостинги