DNSSEC
DNSSEC je rozšírenie služby DNS, ktorá má za cieľ zvyšovať bezpečnosť služby doménových mien tým, že zabraňuje podvhnutiu údajov falošnými či pozmenenými údajmi o doménových menách. Nezaisťuje však zašifrovanie (utajenie) prenášaných dát a nezaručuje ich dostupnosť.
Združenie CZ.NIC, správca domény CZ, patrí medzi popredných inovátorov pri nasadzovaní DNSSEC. Na stránkach www.dnssec.cz publikuje veľké množstvo informácií o službe DNSSEC. Pokiaľ sa chcete o problematike dozvedieť viac, odporúčame návštevu týchto stránok.
V prípade ak nie je služba DNS zabezpečená pomocou DNSSEC, tak poskytuje priestor pre potenciálneho útočníka na veľa miestach. Útočník tak môže napríklad:
získavať cudzie e-maily
pomocou falošných webových stránok získavať heslá, prístupové kódy či údaje o platobných kartách a pod.
obchádzať antispamovú ochranu v DNS a spam posielať
podvrhnouť správy a informácie na webových stránkach
presmerovávať či odpočúvať telefónne hovory, vedené cez internet.
Problémom je to, že užívateľ nemá vo väčšine prípadov vôbec šancu rozpoznať, že sa deje niečo zlé. Vďaka DNSSEC tak získava istotu, že informácie, ktoré z DNS počítač čerpá, sú poskytnuté z toho správneho zdroja a nie sú podstrčené, zmenené, presmerované či inak upravené. DNSSEC tak zaisťuje dôveryhodnosť získaných údajov z DNS.
Podporujeme ECDSA v DNSSEC
Od decembra 2016 sme prešli na najnovší a najbezpečnejší algoritmus pre šifrovanie dát v DNS, na protokol digitálneho podpisu s využitím eliptických kriviek (ECDSA).
Argumenty pre ECDSA (eliptické krivky)
Výrazne vyššia miera bezpečnosti pri menšej bitovej dĺžke kľúča oproti klasickým RSA.
Vyššia miera bezpečnosti ECDSA kľúčov umožňuje znížiť frekvenciu rotácie kľúčov oproti RSA kľúčom.
Menšia veľkosť podpisov v DNS obmedzuje dopad DDoS útokov typu DNS Amplification Attack, taktiež sa znižuje riziko fragmentácie paketov a straty odpovedí v prípade chybne nakonfigurovaných firewallov.
Podpisovanie zón algoritmom ECDSA je výrazne rýchlejšie než v peípade RSA. To umožňuje zjednodušiť management kľúčov a v budúcnosti prejsť na online podpisovanie.
Kontrola podpísania domény
Stav podpisu zóny, kľúčov a celej reťaze dôvery je najlepšie zistiť za použitia špecializovaných webových utilít napr.: DNSSEC Validator
Ako aktivovať DSSEC
Službu DSSEC je možné aktivovat cez přes centrum svojej administrácie, kde máte možnosť pri jednotlivých doménach toto zabezpečenie spustiť. Bližšie informácie sa dozviete : https://napoveda.slovaknet.sk/inpage/nastavenie-dnssec/