Hemsida » hur » Hur DNSSEC kommer att hjälpa till att säkra Internet och hur SOPA gjorde det nästan olagligt

    Hur DNSSEC kommer att hjälpa till att säkra Internet och hur SOPA gjorde det nästan olagligt

    Domännamn System Security Extensions (DNSSEC) är en säkerhetsteknik som hjälper till att lappa upp en av Internetens svaga punkter. Vi har tur SOPA passerade inte, för SOPA skulle ha gjort DNSSEC olagligt.

    DNSSEC lägger kritisk säkerhet till en plats där Internet inte har någon. Domännamnssystemet (DNS) fungerar bra, men det finns ingen kontroll vid någon tidpunkt i processen, vilket gör att hål är öppna för attacker.

    Den nuvarande situationen för frågor

    Vi har förklarat hur DNS fungerar tidigare. I ett nötskal, när du ansluter till ett domännamn som "google.com" eller "howtogeek.com", kontaktar din dator sin DNS-server och tittar upp den tillhörande IP-adressen för det domännamnet. Därefter ansluter din dator till den IP-adressen.

    Det är viktigt att det inte finns någon verifieringsprocess som är inblandad i en DNS-sökning. Din dator frågar sin DNS-server för adressen som är kopplad till en webbplats, DNS-servern svarar med en IP-adress och din dator säger "okej!" Och kopplar gärna till den webbplatsen. Din dator slutar inte kontrollera om det är ett giltigt svar.

    Det är möjligt för angripare att omdirigera dessa DNS-förfrågningar eller konfigurera skadliga DNS-servrar som är utformade för att returnera dåliga svar. Om du till exempel är ansluten till ett offentligt Wi-Fi-nätverk och du försöker ansluta till howtogeek.com kan en skadlig DNS-server på det offentliga Wi-Fi-nätverket helt och hållet returnera en annan IP-adress. IP-adressen kan leda dig till en phishing-webbplats. Din webbläsare har inget riktigt sätt att kontrollera om en IP-adress faktiskt är associerad med howtogeek.com; det måste bara lita på svaret det tar emot från DNS-servern.

    HTTPS-kryptering ger viss verifiering. Låt oss till exempel säga att du försöker ansluta till din banks webbplats och du ser HTTPS och låsikonen i adressfältet. Du vet att en certifieringsmyndighet har verifierat att webbplatsen tillhör din bank.

    Om du öppnade din banks hemsida från en kompromissad åtkomstpunkt och DNS-servern returnerade adressen till en bedrägeribekämpningswebbplats, kunde phishing-webbplatsen inte visa den HTTPS-kryptering. Phishing-webbplatsen kan emellertid välja att använda vanlig HTTP istället för HTTPS, vadslagning att de flesta användare inte skulle märka skillnaden och skulle ange deras onlinebankinformation ändå.

    Din bank har inget sätt att säga "Det här är de legitima IP-adresserna för vår hemsida."

    Hur DNSSEC kommer att hjälpa

    En DNS-lookup händer faktiskt i flera steg. När datorn till exempel frågar www.howtogeek.com, utför din dator denna uppslag i flera steg:

    • Den frågar först "root zone directory" där den kan hitta .com.
    • Den frågar sedan .com-katalogen där den kan hitta howtogeek.com.
    • Den frågar sedan hurtogeek.com där den kan hitta www.howtogeek.com.

    DNSSEC innebär att "signera roten". När datorn går och frågar rotzonen där den kan hitta. Com, kommer den att kunna kontrollera rotszonen signeringsnyckel och bekräfta att den är den legitima rotzonen med sann information. Rotszonen kommer då att ge information om signeringsnyckeln eller .com och dess plats, så att din dator kan kontakta .com-katalogen och se till att den är legitim. Com-katalogen kommer att ge signeringsnyckeln och informationen till howtogeek.com, så att den kan kontakta howtogeek.com och verifiera att du är ansluten till den verkliga howtogeek.com, vilket bekräftas av zonerna ovanför.

    När DNSSEC är fullt utrustad kommer din dator att kunna bekräfta att DNS-svar är legitima och sanna, medan det för närvarande inte har någon möjlighet att veta vilka som är falska och vilka som är verkliga.

    Läs mer om hur kryptering fungerar här.

    Vad SOPA skulle ha gjort

    Så hur spelade Stop Online Piracy Act, bättre känd som SOPA, in i allt detta? Tja, om du följde SOPA inser du att det var skrivet av människor som inte förstod Internet, så det skulle "bryta Internet" på olika sätt. Detta är en av dem.

    Kom ihåg att DNSSEC tillåter domännamnsägare att underteckna sina DNS-poster. Så, till exempel, kan thepiratebay.se använda DNSSEC för att ange de IP-adresser den är associerad med. När din dator utför en DNS-sökning - oavsett om det gäller google.com eller thepiratebay.se - skulle DNSSEC tillåta datorn att bestämma att den mottar rätt svar som validerats av domännamnets ägare. DNSSEC är bara ett protokoll; Det försöker inte diskriminera mellan "bra" och "dåliga" webbplatser.

    SOPA skulle ha krävt Internet-leverantörer att omdirigera DNS-sökning för "dåliga" webbplatser. Om en Internetleverantörs abonnenter försökte komma åt thepiratebay.se skulle till exempel Internetleverantörens DNS-servrar returnera adressen till en annan webbplats, vilket skulle informera dem om att Pirate Bay hade blockerats.

    Med DNSSEC skulle en sådan omdirigering vara oskiljaktig från en man-i-mitten attack som DNSSEC utformades för att förhindra. Internetleverantörer som använder DNSSEC skulle behöva svara med Pirate Bays faktiska adress och skulle således bryta SOPA. För att rymma SOPA, skulle DNSSEC behöva ha ett stort hål i det, en som skulle tillåta Internet-leverantörer och regeringar att omdirigera DNS-önskemål för domännamn utan tillstånd från domännamnets ägare. Detta skulle vara svårt (om inte omöjligt) att göra på ett säkert sätt, vilket möjligen öppnar nya säkerhetshål för angripare.

    Lyckligtvis är SOPA död och det kommer förhoppningsvis inte tillbaka. DNSSEC används för närvarande och ger en långvarig åtgärd för detta problem.

    Bildkrediter: Khairil Yusof, Jemimus på Flickr, David Holmes på Flickr

    Hur fungerar gitarrförvrängning och överdrift?
    Hur vet diagnosverktyget för hårddisk om en sektor är dålig eller inte?
    Hur svårt är det att byta ut ett iPhone-batteri?
    Nästa artikel
    Hur fungerar fällbara telefoner, och när ska jag få en?
    Föregående artikel
    Hur Digital Image Sharpening fungerar, och varför du ska använda den