Hvorfor selskapet ditt bør vurdere å implementere DNS-sikkerhetsutvidelser

IBMs nye DNS ble designet med personvern som topp prioritet IBMs samarbeidet med Packet Clearing House og Global Cyber ​​Alliance for å lage en ny DNS-tjeneste kalt Quad9. Paul Griswold forklarer at tjenesten vil beskytte privatlivet til forbrukere og SMB.

DomainSSystem Security Extensions (DNSSEC) er en protokoll for å sikre tillitskjeden som eksisterer mellom domenenavnsystemet (DNS) -poster som er lagret på hvert domenenivå, og verifisere hver tillit mellom barnetrinnet og dets foreldre, hele veien tilbake til rotsonen. Gjennom denne flernivåprosessen kan integriteten til DNS-postene som er knyttet til et domene, verifiseres, og dermed sikre for kunden at nettstedet eller tjenesten som ble forespurt og den som leveres, faktisk er en og samme.

Denne artikkelen gir en kort forklaring av hvordan DNSSEC fungerer og hvorfor selskapet ditt bør vurdere å implementere det.

Hvordan fungerer DNSSEC?

For å demonstrere, la oss vurdere at nettstedet vårt er vert som test.themacjesus.com.

Det første trinnet i prosessen krever at ".com" -serverne bekrefter postene for "themacjesus" (i et foreldre-barn-forhold). For det andre, "themacjesus" bekrefter postene for "test" (også i et foreldre-barn-forhold). For det tredje verifiser rot-DNS-serverne .com-postene. Til slutt har postene som er publisert av roten, integriteten deres bekreftet ved hjelp av et privat-offentlig nøkkelpar, kalt en Zone Signing Key (ZSK). I tillegg brukes et sekundært nøkkelpar kalt Key Signing Key (KSK) for å validere ZSK.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Akkurat som DNS er DNSSEC usynlig for brukeren. I bakgrunnen fungerer imidlertid sikkerhetsutvidelsene ved å signere rotsonen for domenet ditt effektivt, med hver påfølgende post som krever bekreftelse fra overordnet til nettstedet som blir bedt om, er blitt validert.

Hva beskytter DNSSEC mot?

Å få tilgang til validerte nettsteder og tjenester er målet for sikkerhetsutvidelsesaktiverte DNS-tjenester. Målet her er å nå de tiltenkte serverne som er vert for disse nettstedene eller tjenestene. Så langt beskyttelsen går, sikrer den mot ondsinnede nettadresser designet for å etterligne et nettsted eller en tjeneste for å samle inn kontonavn og passord. Dette kan komme i form av en ondsinnet injisert post under et menneske-i-midten-angrep eller som en del av et kjent sårbarhet, for eksempel DNS-cache-forgiftning eller forfalskningsangrep. I begge tilfeller vil DNSSEC svare med en 404-feil (nettstedet ble ikke funnet) i tilfelle et domene ikke løses på grunn av DNS-poster som ikke kan valideres.

Hva er begrensningene til DNSSEC?

Administrativt overhead i form av å opprette og administrere tilleggsoppføringer for hvert domene som skal beskyttes av DNSSEC kan være både tidkrevende og kostbart avhengig av antall domener. Omfanget kan vokse eksponentielt hvis ytterligere tjenester krever dekning, for eksempel MX-poster for e-postservere. Apropos MX-poster er det kjente problemer som oppstår under MX-postoppslag som er beskyttet av DNSSEC og versjoner av Microsoft Exchange 2013 og tidligere, noe som kan føre til feil.

Konfigurasjonen av nettsteder som er konfigurert for DNSSEC, må være feilfri. Eventuelle feil under konfigurasjonsprosessen, for eksempel feilstavinger, vil sannsynligvis gi poster som ikke samsvarer med domenet den beskytter. I slike tilfeller vil validering av domener mislykkes, og nettstedet eller tjenesten vil ikke bli løst når du blir bedt om det.

DNSSEC gir integritet som en del av CIAs sikkerhets triade - det gir verken konfidensialitet eller tilgjengelighet av data. DNSSEC beskytter heller ikke mot angrep av distribuert denial of service (DDoS). Selv om dette ikke egentlig er begrensningene i DNSSEC-pakken, er det fremdeles godt å vite, ettersom det noen ganger er feil antatt at DNSSEC gir disse beskyttelsene.

Hvorfor skal selskapet ditt implementere DNSSEC?

DNSSEC vil gi din organisasjon og dens brukere den tryggheten at nettstedene og tjenestene de bruker til daglig for å fullføre sitt arbeid er legitime og ikke noen ondsinnet trusselaktør som utgjør seg som sådan for å innhente legitimasjon og data fra selskapet ditt. Ved å tjene som et sjekkesystem som spenner gjennom flernivådomenene helt tilbake til rot-DNS-serverne, kan tillitskjeden mellom hver kobling bekreftes for å sikre at det etableres kommunikasjon mellom nettsteder og tjenester på nettet og din organisasjon. blitt undersøkt grundig og har fått sin integritet validert til ende.

Hvordan aktiverer du DNSSEC?

Aktivering av DNSSEC for organisasjonens DNS-servere er vanligvis en flertrinnsprosess som, selv om det ikke er komplisert, vil variere avhengig av domenets registrar, toppnivådomenet (TLD) -utvidelsen for nettstedet ditt og navneservernes konfigurasjon, enten administrert internt eller av en tredjepart.

Noen administrerte løsninger, som CloudFlare, lar i utgangspunktet aktiveres av DNSSEC gjennom flere museklikk for brukere som bruker de fullt administrerte DNS-tjenestene. For selvstyrte navneservere er det mer i konfigurasjonen og oppsettet som kan kreve spesifikk informasjon for å implementere DNSSEC riktig. Mens et generalisert oppsett er dekket nedenfor når du skal sette opp DNSSEC, bør organisasjoner kontakte IT-supportteamene og eventuelle tredjeparts tjenester de har inngått kontrakt for å administrere domenetjenester for å forstå nøyaktig hva prosessen vil innebære for å gjøre DNSSEC vellykket.

Setter opp DNSSEC

      1. Kontroller at TLD støtter DNS-sikkerhetsutvidelser.
      2. Snakk med IT-avdelingen og tredjeparts domenetjenesteleverandører for å få DNSSEC-spesifikke krav.
      3. Generer sonesigneringsnøkkel (ZSK) og nøkkelsigneringsnøkkel (KSK) for domenets DNS-sone.
      4. Signer DNS-sonen din for å generere signerte soneregistreringer for domenet (er).
      5. Generer erklæringen om signering (DS), som inneholder hashverdier for kryptografiske nøkler som brukes til å signere din DNS-sone.
      6. Importer DS-posten (e) for ditt domene (r) til den selvbaserte eller fullstyrte navneserveren, og sørg for at informasjonen som er innhentet i trinn 2 er tilgjengelig, om nødvendig.
      7. (Valgfritt) Bruk Verisign Labs DNSSEC Debugger Tool for å sjekke hver kobling i tillitsskjeden for å diagnostisere eventuelle problemer som påvirker implementeringen av DNSSEC på ditt domene (r).

      Cybersecurity Insider Nyhetsbrev

      Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

      Registrer deg i dag

        Se også:

        • 36% av amerikanske føderale nettsteder mislyktes i en kritisk sikkerhetstest (TechRepublic)
        • Ny MaMi macOS-malware kaprer DNS-innstillinger (TechRepublic)
        • Hvordan IBMs Quad9-tjeneste beskytter brukere mot å få tilgang til ondsinnede nettsteder (TechRepublic)
        • Slik legger du til en autorisasjonspost for Certificate Authority i Google Domener (TechRepublic)
        • Å mislykkes med å sikre DNS er 'vill uvitenhet': Geoff Huston (ZDNet)
        • Nytt sikkerhetsverktøy for nettlesing ankommer: DNS over TLS (ZDNet)
        • APNIC-sponset forslag kan forbedre DNS-motstandskraften mot DDoS (ZDNet)

        Har organisasjonen din distribuert DNSSEC? Hvilke fordeler eller ulemper har du opplevd før, under eller etter distribusjon? Del kommentarene dine med oss ​​nedenfor i kommentarfeltet.

        Bilde: iStock / chrupka

        © Copyright 2021 | pepebotifarra.com