Как мультиподпись DNS повышает безопасность интернета
Расширение безопасности DNSSEC системы доменных имен защищает интернет-серфинг, но его распространение идет медленно. Обзор
Каждый, кто обращается к серверам в Интернете по их доменному имени, например, cyber-web.ru, хочет быть уверен, что он действительно устанавливает диалог с нужным сервером – цифровые мошенники не должны иметь возможности ни прослушивать, ни манипулировать, ни перенаправлять трафик. Но даже первый шаг, перевод человекочитаемого доменного имени в машиночитаемый IP-адрес с помощью DNS-поиска, проблематичен: лежащая в основе система доменных имен (DNS) была создана в середине 1980-х годов без защиты. Первоначально это не было проблемой, поскольку Интернет все еще был исследовательской сетью. Все изменилось в 1990-х годах, когда он был широко открыт для частных пользователей, а преступники нашли новые сферы деятельности. Однако DNS оставался практически неизменным в течение многих лет.
Поэтому злоумышленники могут манипулировать поиском даже сегодня, используя такие методы, как подмена DNS или отравление кэша DNS. Это имеет серьезные последствия: злоумышленники могут манипулировать и перенаправлять трафик данных и тем самым, например, читать частные сообщения, подделывать данные или красть активы.
Цифровые подписи, которые DNS-сервер прикрепляет к своим ответам (DNS Security Extensions, DNSSEC), защищают от этого. Они криптографически защищают информацию DNS от подделки и проверяют подлинность сервера как допустимого источника ответов. Транспортное шифрование, такое как TLS, не поможет, поскольку оно не защищает от того, что подготовленный преобразователь, взаимодействующий через TLS, отправит клиенту ложную информацию.
Интересное на эту тему: Почему выявление фишинговых атак важно как никогда раньше