Внедрение DNSSEC в информационные системы

DNSSEC (Domain Name System Security Extensions) — это расширение протокола DNS, обеспечивающее безопасность информации, предоставляемой средствами DNS в IP-сетях. Изначально протокол DNS не имел никаких механизмов для защиты от подмены информации в ответе на запрос. Поэтому злоумышленникам не составляло практически никакого труда заменить IP-адрес и перенаправить пользователя на мошеннический сайт, получив таким образом доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

Фактически применение протокола DNSSEC позволяет подписывать адресную информацию цифровой подписью: администратор доменной зоны подписывает записи о соответствии доменных имён и IP-адресов в своей зоне, а потребитель адресной информации получает возможность проверить достоверность подписи.

Использование DNSSEC позволяет избавиться от ключевых уязвимостей в адресной системе DNS и снизить риск так называемых «подмен адреса», от которых могут пострадать пользователи интернета.

Целесообразность внедрения и использования технологии DNSSEC определяется, в первую очередь, стоимостью рисков от перенаправления конечных пользователей на сервера злоумышленников. Это могут быть финансовые потери, получение искаженной информации и другие негативные последствия.

Решение о внедрении и использовании DNSSEC должно приниматься после всесторонней оценки рисков от подмены информации на сервере, к которому адресуется пользователь. При принятии решения нужно так же учитывать, что использование технологии DNSSEC потребует затрат на обеспечение механизма генерации и надёжного хранения ключей электронно-цифровой подписи, обеспечения процесса подписания, также необходимо обеспечить процедуру ротации ключей, без наличия которой защиту записей сложно считать надёжной.


См. также:
История DNSSEC
Как работает DNSSEC
Внедрение DNSSEC