Что такое DNSSEC и зачем нужен?

Не многие вебмастера знаю. что существует протокол DNS Security Extensions. Разберемся, зачем нужен DNSSEC для сайта и по каким принципам работает данный протокол.

DNSSEC - что это?

DNSSEC (Domain Name System Security Extensions) — это расширение, проверяет подлинность ответа, поступающего от DNS-сервера. Иначе говоря, расширение обеспечивает защиту от подмены IP-адресов. Благодаря DNSSEC ресурс защищен от распространенных интернет-атак:

• Подмена DNS-запросов;

• Перенаправление запросов;

• Загрязнения кеша DNS-серверов.

Имея множество преимуществ, обеспечить тотальную защиту портала DNSSEC не может.

Истории появления

При разработке сети DNS проблемам информационной безопасности не уделялось особого внимания. Также система не была доступна обычным пользователям. Впоследствии недостатками воспользовались мошенники, появились такие атаки, как DNS-спуфинг и т.д. Решением проблемы стало внедрение DNSSEC – криптоподписи для DNS-ответов. Задача механизма – построение цепочки доверия для домена от корневой зоны.

Как проверить работает ли dnssec на домене

Протокол DNSSEC может быть включен не на каждой веб-странице. Его реализацию можно проверить при помощи онлайн-инструментов:

• DNSSEC-анализатор является бесплатным, позволяет быстро и просто определить наличие или отсутствие протокола на веб-сайте;

• DNSViz – принцип работы программы аналогичен предыдущей. Результаты проверки введенного веб-домена также покажут настроен DNSSEC на портале или нет;

• DNSSEC-валидатор – дополнение, установка которого позволит получить информацию о совместимости страницы с протоколом.

Как исключить из проверки DNSSEC домен

Для отключения услуги следует нажать на соответствующую кнопку. Заявка пользователя будет автоматически отправлена в очередь на установку изменений. Обычно процедура занимает всего несколько минут. На отключение указывает переключатель серого цвета.

У всех ли хостинг провайдеров есть поддержка DNSSEC

Поддержка DNSSEC предусмотрена не у каждого хостинг провайдера. При выборе услуг на это следует обращать внимание.

Для каких доменных зон можно подключить DNSSEC

Возможность подключения услуги доступна для доменов в зонах:

• .ru;

• .su;

• .рф;

• .com;

• .net;

• .name.

Перечень доступных к использованию зон будет расширяться

Как настраивается dnssec на примере reg.ru

Для подключения услуги на домен, зарегистрированный в REG.RU необходимо, чтобы он был делегирован на серверы DNS – ns1.reg.ru и ns2.reg.ru. Также потребуется подключение услуги Премиум DNS.

Для управления услугой следует действовать в соответствии со следующим алгоритмом действий:

• Загрузите личный кабинет REG.RU;

• Выберите домен с подключенной услугой DNSSEC и кликнете по нему;

• Нажмите “Изменить” в поле “DNS-серверы и управление зоной” на странице услуги;

• Выберите вкладку “Управление”. Тумблер, определяющий текущий статус услуги, позволяет устанавливать настройки по усмотрению пользователя.

Чем плох простой DNS

Разработка DNS велась в 1980 годах. Охват интернета в то время не был таким масштабным. Вопросы информационной безопасности не были такими острыми. Проверить подлинность запросов серверу не было возможности, как и получаемых ответов. Злоумышленники могли с легкость отправлять пользователей не вредоносные сайты.

С целью ускорения преобразования хранение данных DNS, получаемых от серверов, рекурсивными резолверами осуществляется в кэше. При поступлении запроса данных от DNS stub-резолвера, находящихся в кеше, тот дает немедленный ответ. Запрос отправляется одному или нескольким авторитарным серверам. При ряде преимуществ у возможностей кеширования есть один недостаток – отправка злоумышленником поддельного ответа, которые рекурсивный резолвер принимает, становится причиной отравления кэша. В тоге мошеннические данные DNS начинают получать и другие устройства, запрашивающие эти данные.

Без протокола DNSSEC механизм проверки подлинности в DNS не обеспечивает надежный уровень защиты. Благодаря возможностям протокола пользователи получили эффективную защиту сервера от действий злоумышленников. Правильная настройка DNSSEC дополнения позволит работать в сети не беспокоясь о своей безопасности. Следуя инструкции, установить протокол легко и просто. Сложностей на практике обычно ни у у кого не возникает.