DNS:n keskivaiheen salaus – miksi siitä puhutaan nyt?

DNS-turvallisuudesta keskusteltaessa fokus on yleensä DNSSEC:ssä tai salatuissa kyselyissä rekursiivisiin resolvereihin. Harvemmin mainitaan, mitä tapahtuu resolverin ja autoritatiivisten nimipalvelimien välillä. Juuri tämä väliosa liikenteestä kulkee usein salaamattomana, mikä luo selkeän riskin.

OARC:n kokouksissa on viime aikoina nostettu esiin, että resolverien autoritatiivisiin palvelimiin lähettämät kyselyt kulkevat internetissä ilman salausta. Vaikka käyttäjien kyselyt olisivat suojattu DoH:lla tai DoT:lla, resolverin tekemät taustakyselyt jäävät paljaaksi.

Miksi tämä vaikuttaa infrastruktuuriisi

Suojaamaton yhteys mahdollistaa useita hyökkäysvektoreita. Verkon pääsyä omaava hyökkääjä voi väärentää vastauksia, mikä johtaa:

• DNS-väärennöksiin, jotka ohjaavat liikennettä väärään paikkaan jo ennen resolveria
• Tiedon vuotamiseen domainisi rakenteesta ja kyselymalleista
• Välimuistin myrkyttämiseen, joka vaikuttaa useampaan käyttäjään
• DDoS-tiedusteluun, jossa hyökkääjä kartoittaa DNS-liikennettäsi

NameOceanin hosting-palveluita käyttävälle yritykselle DNS on kriittinen resurssi. Jos sitä voidaan manipuloida, käyttäjät ohjautuvat vääriin osoitteisiin tai palvelut katoavat näkyvistä.

Salauksen kehitys resolverin ja autoritatiivisen palvelimen välillä

Alan toimijat kehittävät nyt ratkaisuja, joilla myös tämä yhteys saadaan salattua.

DoT autoritatiivisille kyselyille tuo TLS-salauksen resolverin ja nimipalvelimen välille. Ratkaisu on räätälöity juuri tähän käyttötarkoitukseen.

DoH autoritatiiviselle resoluutiolle hyödyntää HTTP/2- tai HTTP/3-protokollia, jotka tarjoavat hyvän suorituskyvyn ja yhteensopivuuden olemassa olevan infrastruktuurin kanssa.

Suorituskykyvaatimukset ovat keskeinen keskustelunaihe. Salaus tuo viivettä ja kuormitusta, erityisesti miljoonia kyselyitä sekunnissa käsittelevissä resolvereissa. OARC:ssa pohditaan, milloin turvallisuushyödyt ylittävät kustannukset.

Laaja koordinointi tarvitaan

Toisin kuin selainpuolen salauksessa, autoritatiivisen DNS:n salaus vaatii useiden osapuolten yhteistä työtä. Tarvitaan tuki sekä nimipalvelinoperaattoreilta että resolvereiden ylläpitäjiltä. Myös rekisteröijien ja hosting-palveluntarjoajien, kuten NameOceanin, täytyy olla valmiita.

Yksittäinen toimija ei voi toteuttaa muutosta yksin. Domainisi nimipalvelinten, hosting-palvelusi DNS-infrastruktuurin ja suurten resolvereiden on tuettava salausta.

Mitä voit tehdä nyt NameOceanin asiakkaana

Jos domainisi ovat NameOceanin hallinnassa, voit valmistautua tulevaan muutokseen seuraavasti:

1. Seuraa alan kehitystä – salatut transportit tulevat standardiksi
2. Tarkkaile DNS-lokeja epätavallisten kyselymallejen varalta analytiikkatyökalujemme avulla
3. Käytä DNSSEC:ää väliaikaisena suojauksena, kunnes salatut transportit yleistyvät
4. Ota DNS-kyselyloki käyttöön poikkeamien havaitsemiseksi

Miten tilanne kehittyy

OARC:n keskustelut osoittavat, että DNS-yhteisö tunnistaa ongelman ja työskentelee ratkaisujen parissa. Kysymys ei ole siitä, tuleeko salaus käyttöön, vaan milloin ja miten se toteutetaan.

Todennäköinen polku on asteittainen käyttöönotto. Suuret DNS-toimijat ottavat teknologian ensin käyttöön, ja suorituskykyongelmat ratkeavat optimoinnin ja paremman laitteiston myötä.

NameOceanin Vibe Hosting -alusta seuraa näitä trendejä aktiivisesti. AI-pohjainen lähestymistapamme auttaa pitämään infrastruktuurisi ajan tasalla ilman, että sinun tarvitsee huolehtia yksityiskohdista.

Yhteenveto

Resolverin ja autoritatiivisten nimipalvelimien välinen salaus on seuraava askel DNS-turvallisuudessa. Se ei näy loppukäyttäjille, mutta se suojaa domainisi perusrakennetta. Kun teknologia kypsyy ja tuki leviää, rekisteröijän ja hosting-palveluntarjoajan valmius tukea näitä protokollia nousee yhtä tärkeäksi kuin muut turvallisuustoimenpiteet.

OARC:ssa nyt käytävät keskustelut määrittävät DNS-infrastruktuurin, johon luotamme huomenna. Seuraaminen kannattaa.