Сигурността на DNS
- Фирмата, в която работите има свой домейн, нали?
- Естествено! И?
За правилната работа на домейн като example.com е нужно в световната Whois база данни да бъдат коректно въведени два или повече name сървери (сървери за имена, NS записи).
- ns1.example.com + IP адрес
- ns2.example.com + IP адрес
Тези два записа са много критични. Толкова много, че злонамерената им промяна може да срине работата на всички интернет услуги на дадена фирма за секунди. Не е нужно някой да се бори с добре написан firewall, да се мъчи да краде пароли или да атакува web сървера ви с DoS атаки. Достатъчно е просто да промени NS записите и да насочи заявките за вашия www поддомейн към друг сървер за имена, който от своя страна да препраща клиентите ви в трета глуха... Или по-лошо - да препраща клиентите ви към копие на вашата станица, чрез което да събира пароли, да публикува грешна и заблуждаваща информация или да покаже колко много ви "обича"...
Обикновено промяната на данни в Whois се извършва през контролен панел на риселъра, от който сте закупили домейна си. Пазете добре паролата си за достъп до споменатия контролен панел и сънят ви ще е по-спокоен.
Казаното до тук е само малка част от рисковете, които крие DNS. За целта всеки занимаващ се трябва да обърне внимание на сигурността. Липсата на време ме кара да спра с обясненията и да дам на голо няколко адреса:
DNSSEC: DNS Security Extensions
DNSSEC HOWTO, a tutorial in disguise
HMAC, The Keyed Hash-Based MAC Function
TSIG - по пътя към сигурни DNS услуги в България
