DNS sustav (eng. Domain Name System) je jedna od najpotrebnijih usluga u svakoj mreži. Sustav ima mnogo različitih funkcija, ali ona najvažnija jest prevođenje simboličkog imena u IP (eng. Internet Protocol) adresu.
Bez DNS sustava Internet postaje praktički neupotrebljiv. No, s razvojem Interneta, sigurnost DNS sustava značajno je dovedena u pitanje. Detaljnije, pojavilo se pitanje kako znati da je DNS odgovor koji klijen primi uistinu došao od autoritativnog DNS poslužitelja za traženu zonu. Taj problem eskalirao je 2008. godine kada je Dan Kaminsky pokazao kako se može lažirati DNS odgovore i navesti DNS poslužitelje na slanje lažnih informacija. Kao odgovor na spomenuti problem razvijene su sigurnosne ekstenzije DNS sustava čiji je cilj spriječiti napade koji iskorištavaju ranjivosti DNS sustava i pružiti sigurnost.
DNS sustav je nešto bez čega Internet u obliku u kakvom je danas ne bi postojao. On omogućuje da se internet uslugama i resursima pristupa preko njihova simboličkog imena i da se korisnik ne zamara pamćenjem kompliciranih numeričkih IP adresa.
Ipak, zbog sigurnosnih problema DNS sustava koji su se pojavili razvojem Interneta i njegovim prerastanjem u globalnu mrežu, ugrožena je sigurnost svakog korisnika. Jedno od glavnih pitanja koje se postavlja jest kako korisnik može biti siguran da će dobiti uslugu ili resurs koji je i zatražio. Kako znati da je odgovor koji je primljen na upit došao od autoritativnog poslužitelja za zonu koja je tražena, a ne od napadača?
Odgovor na ovo pitanje daju sigurnosne ekstenzije DNS sustava ili skraćeno DNSSEC (eng. Domain Name System Security Extensions). One dodaju komponentu sigurnosti DNS sustavima i trenutno obavljaju tri funkcije:
- osiguravanje sigurnog prijenosa zone,
- sigurno ažuriranje zapisa zone i
- očuvanje integriteta zone.
DNSSEC je u svom sadašnjem obliku dostupan još od 2003. godine, dok je formalno standardiziran 2005. godine. Dvije najpoznatije ranjivosti DNS sustava koje DNSSEC nastoji ukloniti su ranjivosti na napad trovanjem međuspremnika i napad uskraćivanjem usluge. DNSSEC ih nastoji ukloniti omogućavanjem provjere autentičnosti i integriteta odgovora koji dolazi od DNS poslužitelja.
Budući da DNSSEC rješava problem sigurnosti DNS sustava, zasigurno predstavlja pravi put usprkos trenutnim nedostacima. Bez sigurnosnih ekstenzija DNS sustava banke, on-line trgovine, vlade i obični korisnici računala biti će i dalje podložni prijetnjama s kojima se DNS sustav ne može nositi niti je namijenjen da ih spriječava. Zbog svega nabrojenoga znanstvenici se slažu u zaključku da su sigurnosne ekstenzije DNS sustava budućnost. I da će korak po korak postajati sastavni dio Interneta sve dok se jednog dana korisnici ne okrenu unatrag i upitajukako su uopće mogli živjeti bez njih.
U ovom dokumentu dan je kratak pregled povijesti razvoja DNS sustava, njegove osnove i problemi. Nakon toga slijedi opis sigurnosnih ekstenzija DNS sustava. Naglasak se stavlja na njihov cilj i način rada. Također se daje i kraći pregled alata koji se mogu koristiti za implementaciju DNSSEC-a, kao i problemi vezani uz DNSSEC. Na kraju se nalaze predviđanja stručnjaka vezana uz sigurnosne ekstenzije DNS sustava.
Posljednje sigurnosne preporuke