Článek přečtěte do 5 min.

S potěšením oznamujeme podporu rozšíření DNSSEC (Domain Name System Security extensions) pro službu Oracle Cloud Infrastructure (OCI) Public DNS. Služba OCI Public DNS a DNSSEC jsou dostupné ve všech komerčních regionech OCI po celém světě. DNSSEC je kryptograficky navržen tak, aby ověřoval odpovědi DNS na veřejném internetu. DNSSEC na OCI je volitelný, využívá inline podepisování DNS odpovědí pro snadnější použití a snížení složitosti a je poskytován zdarma.

Výhody DNSSEC

DNSSEC je průmyslový standard, který používá kryptografii veřejného klíče k ověření pravosti a integrity odpovědí DNS na veřejném internetu. DNSSEC také umožňuje organizaci kryptograficky potvrdit neexistenci DNS záznamu. DNSSEC mohou používat všechny organizace s veřejnými doménami DNS v doménách nejvyšší úrovně s povoleným DNSSEC, jako je „com“. Pokud je povoleno, DNSSEC usnadňuje autentické odpovědi DNS, jak je popsáno vlastníkem domény, a že nebyly změněny, když procházely sítí. To je navrženo tak, aby eliminovalo účinky běžných útoků proti DNS, včetně otravy mezipaměti a změny odpovědí DNS mužem uprostřed.

Při útoku otravy mezipaměti DNS, jak je znázorněno na následujícím obrázku, se útočník snaží umístit škodlivé položky do mezipaměti serveru DNS. Tyto škodlivé záznamy DNS přesměrovávají provoz webových stránek nebo aplikací na cíl kontrolovaný útočníkem. Aby byl tento útok úspěšný, odešle útočník dotaz DNS na cílový server DNS (krok 1) s očekáváním, že cílový server musí provést rekurzi, aby dotaz uspokojil. Rekurze vyžaduje, aby cílový server zasílal své vlastní dotazy DNS na jiné servery DNS (krok 2). Během útoku útočník zaplaví cílový server odpověďmi DNS, které poskytují škodlivé odpovědi na dotaz DNS cíleného serveru (krok 3). Pokud jedna z těchto podvodných odpovědí odpovídá požadovaným parametrům dotazu serveru DNS a dorazí před skutečnou odpovědí, útočník uspěl a cílový server umístí podvodná data do své mezipaměti (krok 4). Zatímco je podvodná odpověď DNS uložena do mezipaměti, cílový server poskytuje data dodaná útočníkem jako odpověď na dotazy DNS od jiných klientů DNS.

Kroky útoku na otravu mezipamětí DNS.

DNSSEC tento útok zmírňuje, protože cílový server by odmítl přijmout škodlivou odpověď DNS od útočníka, protože postrádá platný záznam DNSSEC RRSIG. Tento záznam zabraňuje vniknutí škodlivých dat do mezipaměti, kde mohou ovlivnit ostatní uživatele.

Úvod do DNSSEC na OCI

Aby bylo možné ověřit odpovědi DNS podepsané DNSSEC, důvěryhodnost prezentovaná DNSSEC nelze izolovat na zónu a místo toho se musí rozšířit z nějakého vzájemně důvěryhodného místa. V případě DNSSEC je toto vzájemně důvěryhodné umístění, známé jako důvěryhodná kotva, kořen DNS. Každá zóna nad zónou, pro kterou chcete povolit DNSSEC, musí sama o sobě mít povolenou DNSSEC, a proto musí zahrnovat možnost podepisovat odpovědi DNS pomocí DNSSEC.

Chcete-li například povolit DNSSEC na mé zóně tim-at-oracle.com, musí všechny zóny „com“ a kořenová zóna (.) podporovat DNSSEC. Podpora DNSSEC je přítomna v mnoha doménách nejvyšší úrovně u mnoha registrátorů domén DNS. Pokud si však nejste jisti, zda pro vaši doménu existuje podpora, obraťte se na svého registrátora domény DNS a ověřte podporu.

Kryptografie veřejného klíče zapojená do DNSSEC pro zónu používá jeden nebo dva páry veřejného a soukromého klíče. Zatímco s DNSSEC můžete použít jeden pár klíčů, DNSSEC na OCI vždy používá dva páry klíčů, známé jako klíč k podpisu klíče (KSK) a klíč k podpisu zóny (ZSK). KSK kryptograficky podepisuje ZSK pro zónu a ZSK podepisuje jednotlivé sady záznamů prostředků (RRSET) v rámci zóny. S DNSSEC v OCI OCI vytváří KSK, ale spravuje jej zákazník a ZSK je zcela vytvořen a spravován OCI. Nový typ záznamu DNS, záznam DS, se používá k propojení nadřazené zóny s podřízenou zónou.

Užitečná může být vizualizace klíčů DNSSEC a jejich použití. Následující obrázek ukazuje záznamy KSK, ZSK a DS od kořenové zóny DNS až po naši vzorovou zónu, tim-at-oracle.com.

Záznamy KSK, ZSK a DS vytvářející důvěru DNSSEC.

DNSSEC naplňuje své cíle distribucí kryptografických klíčů, výtahů klíčů a podpisů požadovaných v samotném DNS ve formě nových typů záznamů DNS.

Přidali následující nové typy záznamů DNS přidané pro podporu DNSSEC:

  • DS: Tyto záznamy jsou přidány u vašeho registrátora domény DNS nebo jiné nadřazené zóny a obsahují kryptografický výtah vašeho KSK. Stejně jako záznamy názvového serveru (NS) přidané v nadřazené zóně vaší domény „slepují“ DNS dohromady, pomáhají záznamy DS propojit řetězec důvěry od kotvy důvěry v kořenovém adresáři DNS do vaší zóny.
  • DNSKEY: Tyto záznamy ukládají veřejný klíč z KSK a ZSK ve vaší zóně. Veřejný klíč KSK v těchto záznamech je kryptograficky podepsán sám sebou a veřejný klíč ZSK je podepsán KSK.
  • RRSIG: Tyto záznamy obsahují podpis pro daný RRSET. RRSET je sada záznamů DNS stejného typu, jako jsou záznamy, a názvu, jako je www.tim-at-oracle.com.
  • NSEC a NSEC3: Tyto záznamy potvrzují neexistenci DNS záznamu. Protože jsou tyto záznamy odesílány s RRSIG, je neexistence kryptograficky zaručena.

DNSSEC prospívá klientovi na internetu dvěma hlavními způsoby. Za prvé, DNS stub resolver – v podstatě DNS klient – ​​na každém počítači může udělat těžkou práci sám. Odesílá dotazy DNS potřebné ke shromáždění veřejných klíčů ze záznamů DS a DNSKEY a ověření souvisejících podpisů v mnoha odpovědích DNS. Pokud jsou podpisy platné, použije přijaté informace DNS, jako je IP adresa z www.tim-at-oracle.com. Pokud přijaté informace nejsou správně ověřeny DNSSEC, informace jsou odmítnuty a nebudou použity. Tato možnost je nakonec tou nejmožnější, ale také nejsložitější, protože vyžaduje, abyste vybrali, nainstalovali a nakonfigurovali ověřovací stub resolver DNSSEC.

Alternativně se překladače DNS stub mohou spolehnout na svůj DNS server, který za ně udělá práci DNSSEC. V tomto případě klienti odloží ověření DNSSEC na server DNS u svého poskytovatele internetových služeb (ISP) nebo zaměstnavatele. V tomto modelu s pomocí klienta stub resolveru rekurzivní server DNS ověřuje dostupné informace DNSSEC. Pokud byla přijatá odpověď DNS změněna nebo jinak neplatná vůči DNSSEC, rekurzivní server vrátí klientovi chybu Server Failed (SERVFAIL). Mnoho domácích uživatelů internetu v USA již tento systém transparentně používá. Většinu času prozkoumáte tento přístup, abyste získali bezpečnostní výhody DNSSEC.

Závěr

DNSSEC je určen k ověřování integrity dat DNS na veřejném internetu. Tyto funkce jsou důležité pro všechny zóny DNS, ale jsou zásadní pro finanční aplikace, zdravotnické systémy, vládní systémy a další systémy, které jsou žádoucími cíli pro útočníky. V některých případech, jako jsou DNS zóny pro vládní systémy, může být DNSSEC vyžadováno pro dodržování předpisů. S vydáním DNSSEC pro OCI Public DNS můžete nyní zmírnit hrozby otravy mezipaměti a útoků typu man-in-the-middle proti DNS pro vaše veřejné zóny hostované v OCI.

Další informace o aktivaci DNSSEC v Oracle Cloud Infrastructure naleznete v dokumentaci, nebo nás kontaktujte.

Zdroj: Oracle