DNSSEC – falešný pocit bezpečí?

DNSSEC je třeba vnímat jen jako další vrstvu zabezpečení, neboť k přesměrování můžete dojít i v případě, kdy váš ISP bude DNSSEC používat.

Každý server na internetu má nějakou IP adresu, které odpovídá nějaký název. A aby bylo možné se spojit s daným serverem po zadání jeho názvu v adresním řádku prohlížeče, musí se někde nejprve dohledat, jaká IP adresa odpovídá danému názvu a k tomu slouží tzv. jmenné servery (Domain Name Server zkr. DNS). I váš počítač se dotazuje nějakého DNS serveru. Jakého, to např. v prostředí MS Windows zjistíte příkazem ipconfig /all.

V okamžiku, kdy se útočníkovi podaří změnit záznam v DNS (DNS cache poisoning) a to tak, že tam uvede IP adresu svého serveru, skončíte po zadání URL na jeho webu. Vy si toho ale pravděpodobně vůbec nevšimnete, protože web útočníka může vypadat a chovat se úplně stejně jako ten pravý. Pokud se bude jednat o web, na kterém zadáváte své přihlašovací údaje, budou tyto údaje útočníkem zachyceny a zneužity. DNSSEC by mělo zabránit tomu, aby někdo jen tak vložil do DNS takovýto záznam. DNSSEC je založen na tom, že vlastník domény si vygeneruje pár klíčů. Soukromým klíčem podepíše záznamy v DNS a veřejný klíč, kterým se pravost záznamů ověřuje, předá CZ.NIC. Myšlenka je to tedy skvělá, jenže…

Aby se uživatel mohl cítit jakžtakž bezpečně, musely by být podepsány nejen všechny domény nejvyšší úrovně (Top Level Domains zkr. TLD), ale i jmenné servery jednotlivých ISP, a ty bohužel stále podepsány nejsou. Přínos DNSSEC se totiž projeví až v okamžiku, kdy budou hierarchicky podepsány všechny DNS servery, které se nacházejí na trase mezi uživatelem a cílovým serverem. Vzhledem k tomu, že většina z vás využívá DNS servery svého ISP, měli byste si ve vlastním zájmu ověřit, zda váš ISP používá DNSSEC či nikoliv. Pokud ne, tak potom skutečnost, že web, který navštěvujete, je chráněn pomocí DNSSEC, na situaci, že můžete být přesměrování někam úplně jinam, nic nemění.

Na stránkách CZ.NIC je uvedeno, že zda váš ISP podporuje DNSSEC, lze zjistit tak, že do svého prohlížeče zadáte adresu www.dnssec.cz. Tím budete přesměrování na stránky, kde se vám na pravé straně zobrazí buď obrázek zeleného klíče (Váš počítač je při přístupu k internetovým službám a zdrojům zabezpečen technologií DNSSEC, neboť ho váš ISP podporuje.) či obrázek červeného klíče (Váš počítač není při přístupu k internetovým službám a zdrojům zabezpečen technologií DNSSEC, neboť ho váš ISP nepodporuje.)

Problém je, že pokud by byl DNS server vašeho poskytovatele hacknut, první co by útočník zřejmě udělal, by byla změna některých záznamů a zcela jistě i CZ.NIC, protože to bude první web, na kterém bude naprostá většina veřejnosti díky mediální kampani zavedení DNSSEC ověřovat. A vězte, že útočník vám na svém webu ten zelený klíč zobrazí tam, kde on potřebuje. Na jeho falešných stránkách se zcela jistě dozvíte, že váš ISP používá DNSSEC, a že tedy můžete být v klidu. Za takové situace pak asi nebudete pochybovat, že se nacházíte na stránkách banky, zpravodajského serveru apod.

DNSSEC

V okamžiku, kdy společnost, která určitou doménu vlastní, prohlásí, že používá DNSSEC, může to v mnoha návštěvnících jejich webu vyvolat falešný pocit bezpečí a začnou v nepřiměřené míře spoléhat na to, že když zadají do prohlížeče adresu svého oblíbeného webu, nemohou skončit nikde jinde, což je zásadní omyl. Znovu opakuji, pokud váš ISP nebude DNSSEC používat, můžete být snadno přesměrováni na jiný server! CZ.NIC na svých stránkách vybízí uživatele, aby v případě, že jejich ISP neprovozuje DNSSEC, tak aby ho o zavedení požádali. To je sice možné, ale…

Problém spočívá v tom, že jednotliví ISP nejsou ničím motivováni k tomu, aby DNSSEC zavedli. Po pravdě řečeno ISP přechodem na DNSSEC nic nezískají, naopak tratí, neboť se jim zvýší náklady. Museli by totiž mnohdy investovat do nového hardwaru, zavést odpovídající procesy souvisejí s náročnější správou DNSSEC a tím by jim vzrostly kromě investičních i provozní náklady. Je tomu tak proto, že pro podepisování jednotlivých záznamů je použita na výpočetní výkon velice náročná asymetrická kryptografie a velikost výsledného souboru po podepsání všech záznamů výrazně naroste.

Závěr: DNSSEC je třeba vnímat jen jako další vrstvu zabezpečení, o jejímž zavedení by měli usilovat především ISP a správci domén. Na rozdíl od serverového certifikátu, vystaveného důvěryhodnou certifikační autoritou, který uživatel vidí a přímo z prohlížeče si ho může ověřit, je DNSSEC něco, co přímo v prohlížeči podporu nemá, tedy pokud nepoužíváte Firefox a nenainstalujete si DNSSEC Validátor plugin. Dále je třeba si uvědomit, že přesměrováni na server útočníka můžete být dokonce i v případě, kdy váš ISP bude DNSSEC používat, stačí, když někdo nebo něco zmodifikuje soubor c:\Windows\system32\drivers\etc\hosts, do kterého zapíše svojí IP adresu a název hostitele.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “DNSSEC – falešný pocit bezpečí?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: