Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig

Innholdsfortegnelse:

Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig
Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig

Video: Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig

Video: Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig
Video: How to setup and use ESP32 Cam with Micro USB WiFi Camera - YouTube 2024, Mars
Anonim
Domenenavn System Security Extensions (DNSSEC) er en sikkerhetsteknologi som hjelper til med å lappe opp en av internettets svake punkter. Vi er heldige SOPA passerte ikke, fordi SOPA ville ha gjort DNSSEC ulovlig.
Domenenavn System Security Extensions (DNSSEC) er en sikkerhetsteknologi som hjelper til med å lappe opp en av internettets svake punkter. Vi er heldige SOPA passerte ikke, fordi SOPA ville ha gjort DNSSEC ulovlig.

DNSSEC legger til kritisk sikkerhet til et sted der Internett egentlig ikke har noen. Domenenavnssystemet (DNS) fungerer bra, men det er ingen verifisering når som helst i prosessen, som gir hull åpne for angripere.

Den nåværende tilstanden av saker

Vi har forklart hvordan DNS fungerer tidligere. I et nøtteskall, når du kobler til et domenenavn som "google.com" eller "howtogeek.com", kontakter datamaskinen din sin DNS-server og ser opp tilhørende IP-adresse for det domenenavnet. Datamaskinen din kobler deretter til den IP-adressen.

Det er viktig at det ikke er noen verifikasjonsprosess som er involvert i et DNS-oppslag. Datamaskinen spør sin DNS-server for adressen som er tilknyttet et nettsted, DNS-serveren reagerer med en IP-adresse, og datamaskinen sier "ok!" Og kobler seg gjerne til den nettsiden. Datamaskinen stopper ikke for å sjekke om det er et gyldig svar.

Det er mulig for angripere å omdirigere disse DNS-forespørsler eller konfigurere ondsinnede DNS-servere designet for å returnere dårlige svar. Hvis du for eksempel er koblet til et offentlig Wi-Fi-nettverk, og du prøver å koble til howtogeek.com, kan en ondsinnet DNS-server på det offentlige Wi-Fi-nettverket returnere en annen IP-adresse helt. IP-adressen kan føre deg til et phishing-nettsted. Din nettleser har ingen reell måte å sjekke om en IP-adresse faktisk er knyttet til howtogeek.com; det må bare stole på svaret det mottar fra DNS-serveren.
Det er mulig for angripere å omdirigere disse DNS-forespørsler eller konfigurere ondsinnede DNS-servere designet for å returnere dårlige svar. Hvis du for eksempel er koblet til et offentlig Wi-Fi-nettverk, og du prøver å koble til howtogeek.com, kan en ondsinnet DNS-server på det offentlige Wi-Fi-nettverket returnere en annen IP-adresse helt. IP-adressen kan føre deg til et phishing-nettsted. Din nettleser har ingen reell måte å sjekke om en IP-adresse faktisk er knyttet til howtogeek.com; det må bare stole på svaret det mottar fra DNS-serveren.

HTTPS-kryptering gir noen bekreftelse. For eksempel, la oss si at du prøver å koble til bankens nettsted og du ser HTTPS og låsikonet i adressefeltet. Du vet at en sertifiseringsmyndighet har bekreftet at nettstedet tilhører banken din.

Hvis du har tilgang til bankens nettside fra et kompromittert tilgangspunkt, og DNS-serveren returnerte adressen til et svindelfiskesider, ville phishing-nettstedet ikke kunne vise den HTTPS-kryptering. Imidlertid kan phishing-nettstedet velge å bruke vanlig HTTP i stedet for HTTPS, ved å satse på at de fleste brukere ikke ville merke forskjellen, og likevel ville legge inn deres nettbankinformasjon.
Hvis du har tilgang til bankens nettside fra et kompromittert tilgangspunkt, og DNS-serveren returnerte adressen til et svindelfiskesider, ville phishing-nettstedet ikke kunne vise den HTTPS-kryptering. Imidlertid kan phishing-nettstedet velge å bruke vanlig HTTP i stedet for HTTPS, ved å satse på at de fleste brukere ikke ville merke forskjellen, og likevel ville legge inn deres nettbankinformasjon.

Din bank har ingen måte å si "Dette er de legitime IP-adressene for nettstedet vårt."

Image
Image

Hvordan DNSSEC vil hjelpe

En DNS-oppslag skjer faktisk i flere stadier. For eksempel, når datamaskinen spør etter www.howtogeek.com, utfører datamaskinen denne oppslaget i flere faser:

  • Den spør først "rotsonen katalogen" hvor den kan finne .com.
  • Deretter spør den.com-katalogen hvor den kan finne howtogeek.com.
  • Det spør deretter howtogeek.com hvor den kan finne www.howtogeek.com.

DNSSEC involverer "signering av roten." Når datamaskinen går for å spørre rotsonen der den kan finne.com, vil den kunne sjekke rotsonen signeringsnøkkel og bekrefte at det er den legitime rotsonen med sann informasjon. Rotsonen vil deretter gi informasjon om signeringsnøkkelen eller.com og dens plassering, slik at datamaskinen din kan kontakte.com-katalogen og sikre at den er legitim..Com-katalogen vil gi signeringsnøkkelen og informasjonen til howtogeek.com, slik at den kan kontakte howtogeek.com og verifisere at du er koblet til den virkelige howtogeek.com, som bekreftet av sonene over den.

Når DNSSEC er fullt utrulling, vil datamaskinen kunne bekrefte at DNS-svar er legitime og sanne, mens det for øyeblikket ikke har noen måte å vite hvilke som er falske og hvilke som er ekte.

Les mer om hvordan kryptering fungerer her.
Les mer om hvordan kryptering fungerer her.

Hva SOPA ville ha gjort

Så hvordan spilte Stop Online Piracy Act, bedre kjent som SOPA, inn i alt dette? Vel, hvis du fulgte SOPA, skjønner du at det var skrevet av folk som ikke forstod Internett, så det ville "bryte Internett" på ulike måter. Dette er en av dem.

Husk at DNSSEC lar domenenavnere registrere sine DNS-poster. Så, for eksempel, kan thepiratebay.se bruke DNSSEC til å angi IP-adressene den er knyttet til. Når din datamaskin utfører et DNS-oppslag - enten det gjelder google.com eller thepiratebay.se - vil DNSSEC tillate datamaskinen å bestemme at den mottar det riktige svaret, slik det er godkjent av domenenavnets eiere. DNSSEC er bare en protokoll; Det forsøker ikke å diskriminere mellom "gode" og "dårlige" nettsteder.

SOPA ville ha krevd Internett-leverandører for å omdirigere DNS-oppslag for "dårlige" nettsteder. For eksempel, hvis en Internett-leverandørens abonnenter prøvde å få tilgang til thepiratebay.se, ville ISPs DNS-servere returnere adressen til et annet nettsted, som ville informere dem om at Pirate Bay hadde blitt blokkert.

Med DNSSEC ville en slik omdirigering ikke skille seg fra et mann-i-midten-angrep, som DNSSEC ble utformet for å forhindre. Internett-leverandører som bruker DNSSEC, må svare med den faktiske adressen til Pirate Bay, og vil dermed være i strid med SOPA.For å imøtekomme SOPA, ville DNSSEC måtte ha et stort hull kuttet inn i det, en som ville tillate Internett-leverandører og regjeringer å omdirigere DNS-forespørsler om domenenavn uten tillatelse fra domenenavnets eiere. Dette ville være vanskelig (om ikke umulig) å gjøre på en sikker måte, sannsynligvis å åpne nye sikkerhetshull for angripere.

Image
Image

Heldigvis er SOPA død, og forhåpentligvis kommer det ikke tilbake. DNSSEC er for tiden i bruk, og gir en langvarig løsning på dette problemet.

Anbefalt: