Usługa DNSSEC

Chroń swoją domenę przed Cache Poisoning.



Działanie DNSSEC


Serwer DNS służy do uzyskiwania adresu IP przypisanego do domeny (adresu URL w przypadku strony www). Adres IP jest niezbędny, aby przeglądarka mogła połączyć się z serwerem www odpowiedzialnym za stronę, którą chcesz odwiedzić, ponieważ adres IP określa w unikalny sposób każdą maszynę w internecie.


W ostatnich latach hakerzy opracowali metody infekowania serwerów DNS pozwalające na przekierowanie ruchu na ich serwery (phishing, itp.), fałszując odpowiedzi przekazywane przez DNS.

Włącz DNSSEC na swoim hostingu i sprawdź jego aktywację przez przeglądarkę sprawdzając informacje zawarte w tym przewodniku.


Więcej informacji na temat konfiguracji strefy DNSSEC na serwerze dedykowanym znajduje się w tym przewodniku.







Do czego służy DNS ?



Użytkownik wpisuje adres www.ovh.pl w swojej przeglądarce internetowej. Zapytanie jest wysyłane do serwera DNS, który przesyła adres IP: 213.186.33.34.





Przeglądarka internetowa zna teraz adres IP serwera strony www.ovh.pl. Wysyła zapytanie do tego adresu IP, które zwraca zawartość strony.











Zagrożenie: Cache Poisoning



Haker odkrył lukę na serwerze DNS. Udało mu się włamać na serwer i zmienić adres odnoszący się do www.ovh.pl na IP swojego serwera: 203.0.113.78.










Gdy użytkownik wpisuje adres www.ovh.pl, jego przeglądarka łączy się z serwerem DNS, aby uzyskać adres IP. Zainfekowany DNS przesyła adres IP wprowadzony przez hakera: 203.0.113.78.













Przeglądarka używa tego adresu IP do uzyskania zawartości strony. Nieautoryzowany serwer odsyła jej stronę podobną do www.ovh.pl, na przykład w celu uzyskania prywatnych danych (phishing).









Do czego służy DNSSEC?



DNSSEC pozwala na zabezpieczenie autentyczności odpowiedzi DNS. Gdy przeglądarka wysyła zapytanie, powraca ono z kluczem uwierzytelniającym, który potwierdza, że odesłany adres IP jest poprawny.










Użytkownik ma pewność, że wchodzi na poprawną stronę, gdy otrzymuje IP zaakceptowane przez DNSSEC.











Jeśli haker próbuje zmienić tabelę zawartą na serwerze DNS chronionym przez DNSSEC, ten ostatni odrzuca jego zapytania.








Więcej informacji


Przeczytaj wywiad ze Stéphane Lesimple, odpowiedzialnym za domeny w OVH.