Domain Name System Security Extensions

Domain Name System Security Extensions (DNSSEC) je sada z IETF specifikací pro zajištění některých druhů informací poskytovaných Domain Name System. DNS je používán v intenetovém protokolu IP sitě. DNSSEC je sada rozšíření DNS, které zajišťují, aby klienti DNSSEC mohli:

• Ověřovat původ dat
• Integritu dat
• Důvěryhodnou informaci o neexistenci údaje

DNSSEC nezajistí

• Důvěrnost komunikačního kanálu při přenášení dat
• Ochranu před Denial-Of-Service útoky(DoS)

Bežná DNS nám slouží překladu jmen na IP adresy, ale bežné DNS nemá žádnou ochranu proti napadnutí. Potom když bychom zadali do vyhledávače www.banka.cz tak po překladu adres misto toho aby náš počítač dostal adresu 194.56.240.198, tak dostane podvrženou adresu například 91.196.174.2, přitom ve vyhledávači bude stále www.banka.cz. Takže nic nepoznáte. Je možné se tomu bránit pokud banka používá zbezpečení HTTPS, ale ne každý uživatel postřehne, že stránka není zabezpečená, navíc i toto se dá obejít. O tom více v HTTPS.

DNSSEC vkládá do DNS asymetrické šifrování – používá jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip se používá k známějšímu šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. Držitel domény která bude v DNSSEC vygeneruje privátní a veřejný klíč. Svým privátním klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Tento klíč vkládá vlastník ke své doméně u nadřazené autority. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak hierarchie, která zajistí důvěryhodnost údajů, pokud není v žádném svém bodě porušena, a všechny elektronické podpisy souhlasí.

• 1973 -1983 – Centralizovaný systém
• 1983 – John Postel a Paul Mockapetris sepisují základy DNS (RFC881,882,883), první DNS server – Jeeves
• 1986 – DNS jako IETF standard: RFC1034 a RFC1035
• 1988 – DNS se začíná prosazovat, první verze BINDu
• 1990 – Steven Bellovin objevuje vážnou chybu v DNS, publikování této chyby odloženo na 1995, Autentizace přístupů pomocí jména počítačů (rsh, rlogin)
• 1995 – Steven Bellovin publikuje svojí zprávu z roku 1990, IETF začiná diskutovat o zabezpečení DNS
• 1997 – Publikováno RFC2065 – předchůdce RFC2535
• 1999 – Publikováno RFC2535 – první verze DNSSEC, BIND9 implementuje DNSSEC
• 1999-2001 – Nasazení DNSSECu stagnuje
• 2001 – Ukazuje se, že DNSSEC je nevhodný k nasazení.
• 2001 - podepsání záznamů vyžadovalo komplexní komunikaci s nadřazeným serverem.
• 2001 - změna klíče u nadřazeného serveru vyžadovala změnu ve všech podřízených zónách.
• 2001 - pro vyřešení problémů byla navržena nová verze (draft), která definovala DS záznam a zjednodušila tak komunikaci.
• 2002-2003 – implementace v BIND9, první testu ukazují, že 2535bis je použitelné pro nasazení
• 2004 – podpora 2535bis v BIND 9.3 a NSD2, čeká se na standardizaci
• 2005 – publikováno jako RFC4033, RFC4034 a RFC4035, .SE podepisuje jako první svojí zónu

DO inovátořů patří Brazílie (.br), Bulharsko (.bg), Česká republika (.cz), Portoriko (.pr) a Švédsko (.se), , kteří používají DNSSEC pro své top-level domény, RIPE NCC, podepsali všechny reverzní (in-addr.arpa), které jsou pověřeny z Internet Assigned Numbers Authority (IANA).^[1] ARIN také podepisovala reverzní zóny. ^[2] TDC byl prvním ISP k provedení této funkce ve Švédsku.

Všechny projekty s DNSSEC jsou na dnssec.net Jsou také znázorněni na mapě v Google Maps World Wide DNSSEC Deployment.

DNSSEC potřebuje software na straně serveru a také na straně clienta. zde jsou příklady nástrojů který DNSSEC podporují:

• BIND,hodně populární nástroj DNS server. Verze 9.3 implementuje nově DNSSEC-bis (DS záznamy) i když nepodporuje NSEC3 záznamy. BIND 9.6 byl představen v prosinci 2008 a má plnou podporu pro NSEC3 záznamy.
• Drill zvládá také DNSSEC dig-jako nástroj v balíku s ldns.
• Drill extension for Firefox přidává do Mozilla Firefox schopnost zjistit, zda je doména může být ověřen pomocí DNSSEC.
• DNSSEC-Tools je SourceForge jejímž cílem je poskytnout snadno použitelné nástroje pro podporu všech typů správců a uživatelů využívající DNSSEC. Nabízí nástroje pro správce autoritativní zóny, autoritativního serveru a Rekurzivního serveru, stejně jako knihovny a nástroje pro vývojáře aplikací patchů pro rozšíření stávající běžné aplikace.
• Zone Key Tool je software určený pro snadnou údržbu zón DNSSEC. Je primárně určen pro prostředí s malým a středním počtu zón a poskytuje plně automatický podpis klíče rolovací zóny stejně jako automatické odstupující zóny.
• Unbound je DNS server, který byl napsán od základu na DNSSEC.
• DNSSEC podpora se zavádí v Windows 7 a Windows Server 2008 R2.^[3]
• mysqlBind GPL OSS na DNS ASP nyní také podporuje DNSSEC.
• OpenDNSSEC je určen DNSSEC signatářem nástroj pomocí PKCS#11 pro rozhraní s Hardwerovými ochranými moduly.

V tomto článku byl použit překlad textu z článku Domain_Name_System_Security_Extensions na anglické Wikipedii.

• www.lupa.cz-zde probírají v seriále DNSSEC z obou úhlů pohledu.
• www.root.cz- zde to probírají více do detailů, ve více článcích.

• DNSSEC - DNSSEC informacní stránka o DNSSEC
• DNSSEC-Tools Project
• DNSSEC Deployment Coordination Initiative
• DNSSEC Deployment Team

• RFC 2535 Domain Name System Security Extensions
• RFC 3833 A Threat Analysis of the Domain Name System
• RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
• RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
• RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
• RFC 4398 Storing Certificates in the Domain Name System (DNS)
• RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
• RFC 4641 DNSSEC Operational Practices
• RFC 5155 DNSSEC Hashed Authenticated Denial of Existence