DNSSEC, azaz a biztonságos névszerver - Blog | Versanus

DNSSEC, azaz a biztonságos névszerver

|

Versanus Kft.
Versanus Kft.

Legutóbb a ModSecurity webalkalmazás szintű tűzfalról írtunk, most is maradunk a biztonsági vonalon, csak most a DNS védelméről, azaz a DNSSEC-ről írunk. Érdemes ismerkedni vele és gondolkozni a használatán. Jelenleg alig-alig akad olyan ügyfelünk, aki használná, pedig hasznos kis dolog ez. Lássuk, miről is szól.


A HUREG, azaz a .hu domaineket kezelő szerv, az Internet Szolgáltatók Tanácsa (ISZT) közel 50 oldalas kiadványban foglalkozik a DNSSEC elvéről és konfigurációjáról, de mi ennél jóval rövidebben szeretnénk tolmácsolni.

A DNSSEC egy rövidítés, a teljes neve ez: Domain Name System Security Extensions. Nagyon leegyszerűsítve olyasmi megoldás ez, mint a honlapoknál az SSL tanúsítvány beállítása és a HTTPS használata, ahol a kommunikációban egy hitelesített válaszokat adó biztonsági réteg jelenik meg. Csakhogy a mindez egy nem biztonságos protokollra, a DNS-re épül.

De mi is az a DNS?

A megértéshez kezdjük az egészet az alapoktól. A DNS teljes neve a Domain Name System. A DNS zónája tárolja le a weboldalakhoz tartozó domain cím összes rekordját, adatát és szám alapú internetes címekre fordítja azokat, azaz IP címekre. Olyan ez, mint egy telefonkönyv, csak nem számokat kell a fejünkben tárolni, hanem neveket kell begépelni, és a DNS a központ, ami kapcsol. Ezek speciális szervereken futnak, az úgynevezett doman név szervereken, amik ezeket a névből szám fordításokat elvégzik, s egyszer csak betölt a honlap.

A DNS azonban a kezdetek óta hibádzik, mert nem sikerült túl biztonságossá tenni, és folyamatosan fedeznek fel benne sebezhetőségeket. Ennek orvoslására alakult ki a DNSSEC bővítmény, amit hozzá lehet adni a már meglévő DNS protokollhoz, amely megvalósítja azt a biztonsági réteget, ami a HTTPS-es példához hasonlít, mindezt titkosítást nélkül oldja meg, beépülve az honlapok interneten keresztül történő elérésének folyamatába.

A DNSSEC működéséről

Az eljárás célja, hogy megvédje az internetezőket a DNS adatok meghamisításától úgy, hogy az adatokba ágyazott digitális aláírással igazolja azokat. Azaz amikor begépelünk egy domain címet, akkor a digitális aláírás hitelesítésre kerül. Ha ez az aláírás megegyezik azzal, amit elhelyeztünk a master DNS szerveren, akkor az adatok eljuthatnak a látogató számítógéphez, így a honlap betöltődik. A DNSSEC így azt biztosítja, hogy tényleg csak azzal a honlappal történjen kommunikáció, melyet a látogató valóban meg akart nyitni.

Az eljárás az adatok hitelesítésére nyilvános kulcsok és digitális aláírások rendszerét használja. Gyakorlatilag a már eddig is meglévő DNS rekordok mellé felvesz egy új rekordot. Ez az új rekord ugyanolyan módon tölthetők le, mint bármely más rekord, mint például az A, CNAME vagy MX rekordok. Az új rekordot aláírásra használjuk. Egy aláírt névkiszolgálónak van egy nyilvános és egy privát kulcsa minden zónához. Amikor az internetező elindít egy lekérést, a privát kulccsal aláírt információkat elküldi, a fogadó fél pedig a nyilvános kulccsal feloldja. Ha ebbe az adatcserébe valaki kéretlenül megpróbál megbízhatatlan, hamisított információkat küldeni, akkor a nyilvános kulcs nem fogja megfelelően nyitni, így a fogadó fél tudja, hogy az információ hamis. Ilyen támadások lehetnek többek között a DNS cache poisoning / cache mérgezés, a hazug rekurzív névszerverek, DNS választ hamisító routerek, de ezekre most nem térünk ki.

Még egyszer ki kell hangsúlyozni, hogy ez NEM váltja ki az SSL-el HTTPS használatát, mert nem tartalmaz a DNSSEC titkosító algoritmust. Csupán azokat a kulcsokat biztosítja, melyek szükségesek a DNS adatok eredetiségének hitelesítéséhez. Védelmet sem nyújt esetleges DDoS támadások ellen. Csak egy extra védelem az adatcserében, az adatok hamisítása ellen.

Bővebb információk és egyéb magyarázatok kitérve technikai megvalósításokra algoritmusokra megtalálhatók a Wikipedián, itt:https://hu.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Hogy néz ki a DS rekord?

A DNSKEY-ben található kulcsokat két különböző célra használják:

      • Key Signing Key (KSK-kulcs aláíró kulcs) feladata a zóna aláíró kulcsok aláírása
      • Zone Signing Key, (ZSK-zóna aláíró kulcs) ezzel az egyes rekordokat írják alá

A DS (Delegation Signer) rekord nyilvános kulcs egy egyedi szálát tartalmazza, valamint metaadatokat a kulcsról, például azt, hogy milyen algoritmusokat használ.

Nézzünk egy példát:

ds:lelekserpa.hu 
DS          2371      13           2             D9692CA39EAB331CC845903F457DCA2A5F9DE474

Bontsuk szét a különböző komponensekre a DS rekordot, és nézzük meg, mi micsoda:

lelekserpa.hu  – ez maga a domain cím
DS – azaz a Delegation Signer rekord rövidítése, a rekord típusának jele
2371 – Key Tag (azaz kulcscímke) a kulcs azonosítója
13 – Az algoritmus típusa
2 – A kivonat típusa
D9692CA39EAB331CC845903F457DCA2A5F9DE474 - a nyilvános kulcs kivonata

Ha mindent sikeresen beállítottunk, akkor már csak meg kell várni azt az időt (TTL-t), amíg a DNS frissít és az új rekord érvénybe lép. Ekkor lehet bekapcsolni .hu domain esetén az ISZT felületén, majd lehet tesztelni. A mi teszt domain címünk esetén az eredmény itt látható:https://dnssec-analyzer.verisignlabs.com/lelekserpa.hu

Kinek ajánlott?

Mindenkinek, aki szeretné tovább fokozni a honlapjának és annak látogatóinak a védelmét és ezáltal tovább növelni az adathalászat és az adathamisítás esetleges lehetőségeit.

Hogyan lehet bekapcsolni?

Ez egyelőre csak egy igényfelmérés.

Nem minden rendszer és nem minden DNS szerver támogatja. A vCRM Ügyfélkapu mögötti MyDNS szerver nem támogatja, így az cserére szorul majd. A cPanel támogatja, de csak akkor, ha szerverenként dedikált DNS rendszer van, nálunk pedig clusterbe van szervezve, így nem működik. Van rá a cPanel felé „feature request”, de nem tudni mikor lesz belőle valami.

Nagyobb igény esetén azonban elkezdünk dolgozni azon, hogy házon belül megoldjuk a DNSSEC támogatását.

Addig is a Cloudflare ingyenes csomagját javasoljuk erre a célra. A minta domain esetén mi is ezt használtuk a DNSSEC bekapcsolására. De egyéb szolgáltatások, mint például a CDN (Content Delivery Network) használata miatt is hamarosan külön cikk várható a Cloudflare használatáról.

 

Iratkozzon fel hírlevelünkre Adja meg nevét és e-mail címét.