NMU

DNSSEC

DNSSEC, är en funktion som gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Med DNSSEC signeras DNS-uppslagningar med kryptografiska nycklar. På så sätt säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen.

Vad är DNSSEC?

DNSSEC, (står för Domain Name System Security Extensions), är en utvidgning av DNS (står för Domain Name System). För att säkerställa att den information som du söker på internet kommer från rätt källa samt att data inte har manipulerats under överföringen så använder sig DNSSEC därför av kryptografiska signaturer.DNSSEC, Domain Name System Security Extensions, är som vi nämnde ovan en utvidgning av DNS. Utvidgningen syftar till att öka säkerheten i DNS.

  • Säkerhetstillägget har utvecklats med målet att förhindra det slags missbruk där man lurar DNS med falsk information genom så kallad cacheförgiftning.
  • DNSSEC använder sig av kryptografiska signaturer för att säkerställa att svaret på frågor till DNS kommer från rätt källa och att data inte har manipulerats under överföringen.

Domain Name System Security Extensions, (DNSSEC), är ett tillägg som erbjuds av många registrarer (registrar, återförsäljare av domännamn) för toppdomäner såsom t.ex. .se och .nu.

  • DNSSEC är det enda riktigt effektiva sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas.

Om du är intresserad av att säkra din egen domän så bör du vända dig till din registrar för att få mer information.

Med DNSSEC så tillför man alltså information som inte finns i det ursprungliga protokollet för DNS. Dessa tillägg åstadkommer tre saker:

  • Autenticering av varifrån dns-data kommer
  • Kontroll av dataintegritet
  • Autenticering av svaret att en uppslagning inte ger något data

Enkelt förklarat så skulle man kunna säga att Dnssec håller koll på vem som svarar. När man talar om DNSSEC så brukar man ibland använda begrepp som t.ex. dns security, dnssec validation, dig dnssec och dnssec test dig.

DNSSEC gör livet online tryggare

Internet är i grund och botten ett jättelikt nätverk som kopplar samman en enorm mängd datorer så att de kan kommunicera med varandra. Bakom datorerna så finns vi människor, som vill ha tillgång till all information på de olika datorerna i nätverket. Eller skicka meddelanden till andra människor – som i våra medvetande bara finns en knapptryckning bort, även om de i realiteten kanske befinner sig i andra städer, i andra länder eller till och med på en annan kontinent.

  • Tack vare domännamnssystemet (Domain Name System, DNS) så hittar webbläsaren rätt på nätet och människor kan använda domännamn (som till exempel sj.se eller svt.se) istället för IP-adresser när de surfar, skickar e-post eller utnyttjar internet på något annat sätt.

Tyvärr så visade det sig att fanns vissa svagheter i DNS, den så kallade Kaminsky-buggen (uppkallad efter säkerhetsforskaren Dan Kaminsky, som 2008 upptäckte denna svaghet i DNS-protokollet).

NÅGRA KÄNDA VARUMÄRKEN SOM LITAR PÅ OSS

Varumärken

Sverige är ett föregångsland inom DNSSEC

Visste du för övrigt att Sverige har världens äldsta fullständiga dnssec-tjänst för en toppdomän?

Internetstiftelsen, som hanterar den svenska toppdomänen .se, lanserade DNSSEC som tjänst redan 2007. Sedan dess så har alla domäninnehavare under .se-domänen möjlighet att dra nytta av den förbättrade säkerheten.

  • Internetstiftelsen har även fortsättningsvis varit med i utvecklingen, bland annat genom att bidra till OpenDNSSEC (ett öppen källkod-verktyg för enkel administration av DNSSEC).

När DNS skapades på 1980-talet så var grudtanken att minimera den centrala administrationen av nätverket och göra det lättare att koppla upp nya datorer till internet.

Dessvärre så fäste man den gången ingen större vikt vid säkerheten och bristerna på detta område har därför öppnat för olika typer av missbruk och attacker där svaren på DNS-uppslagningar förfalskas. Härigenom så kan internetanvändare ledas fel, t.ex. i syfte att lura av dem känslig information såsom:

  • Personnummer
  • Lösenord
  • Kreditkortsnummer

DNSSEC, (Domain Name System Security Extensions), är en utökning av DNS i syfte att göra säkrare uppslagningar av internetadresser för t.ex. webb och e-post. Den ständigt ökade betydelsen av DNS har därför gjort DNSSEC allt mer aktuellt med åren.

RAFAL JOHANSSON

Senior Client Manager

rafal.j@nmugroup.com
0735 – 16 00 34

Skyddar DNSSEC mot allt?

Det är viktigt att komma ihåg att DNSSEC inte stoppar alla typer av bedrägerier. Säkerhetsutvidgningen av domännamnssystemet (DNS) är endast konstruerad för att förhindra attacker där angriparen manipulerar svar på DNS-frågor för att uppnå sitt mål.

  • Det finns fortfarande flera andra säkerhetsbrister och problem på internet som DNSSEC inte löser. T.ex. överbelastningsattacker, så kallad Distributed denial of service (DDOS).
  • DNSSEC skyddar inte heller mot attacker på andra nivåer, till exempel attacker på IP- eller nätnivå.

När det gäller t.ex. nätfiske (phishing, sidor som liknar eller är identiska med originalet för att lura till sig lösenord, personuppgifter eller kreditkortnummer) eller farmning (pharming, omdirigering av DNS-förfrågan till fel dator) och andra liknande attacker mot DNS, så ger DNSSEC ett visst skydd mot detta.

Kan man testa om DNSSEC fungerar?

”Genomför min DNS-server DNSSEC-validering eller inte?” är en vanligt förekommande fråga i dessa sammanhang.

  • Vanligtvis så beror det på att de just har fått ett meddelande om en BIND-säkerhetsrådgivning och är osäkra på om det är tillämpligt på deras produktionsmiljö eller inte.
  • DNSSEC-validering utförs på servrar som ger svar på klientfrågor som har erhållits från andra servrar.

Man talar i dessa sammanhang om bland annat dnssec validation, dig dnssec och dnssec test dig.

PONTUS HARVIGSSON

Senior Client Manager

pontus.h@nmugroup.com
0735 – 16 00 35

NMU Group förvaltar ditt domännamn

När ni ska köpa/registrera en domän, så gäller det att hitta ett unikt namn för just er domän som ingen annan redan har registrerat.

Våra domänexperter, med 20 års erfarenhet, hjälper er att göra en nulägesanalys av era behov och förutsättningar och hjälper er sedan att registrera rätt domännamn – på rätt marknad – för just er verksamhet.

Oavsett om ni är en organisation eller koncern, ett IT bolag eller konsulter som hjälper era kunder med att förvalta deras domännamn, så är ni varmt välkomna att kontakta oss.

Vi hjälper er eller era kunder med såväl domännamn som alla era frågor om DNSSEC.

DANIEL ANDERSSON

Domänrådgivare

daniel.a@nmugroup.com
0735 – 16 00 37