A DNS-gyengepont, amiről ritkán esik szó

A DNS-biztonságról szóló beszélgetések általában a DNSSEC-re vagy a titkosított lekérdezésekre fókuszálnak. Kevesebb figyelmet kap viszont az a szakasz, ami a rekurzív resolver és az autoritatív szerver között zajlik. Ez a „középső mérföld” még ma is jórészt titkosítatlanul halad az interneten.

Az OARC legutóbbi találkozóin világossá vált: a resolver és az autoritatív szerver közötti kommunikáció védelme komoly hiányosság. Míg a felhasználói oldalon egyre több helyen használnak DoH-t vagy DoT-t, a háttérben zajló lekérdezések továbbra is szabadon olvashatók.

Miért jelent ez valós kockázatot?

Egy támadó, aki hozzáfér a hálózathoz, könnyedén elkapja ezeket a lekérdezéseket és hamis válaszokat injektál. Ez többféle támadást is lehetővé tesz:

• forgalom átirányítása a resolver előtt
• domain-infrastruktúrával kapcsolatos információk kiszivárgása
• cache poisoning, ami több felhasználót is érint
• DDoS-előkészítés a DNS-mintázatok megfigyelésével

Kis- és közepes vállalkozásoknál ez különösen érzékeny pont. A domainjeid gyakorlatilag a cég címtára – ha valaki ezt manipulálja, nemcsak a forgalmat térítheti el, de az egész szolgáltatást elérhetetlenné teheti.

Milyen megoldások vannak készülőben?

Az iparág több irányban is kísérletezik a titkosítással. Az egyik út a DoT kiterjesztése az autoritatív szerverek felé. Egy másik a DoH használata HTTP/2 vagy HTTP/3 protokollal. Mindkettő működőképes, de mindegyik jár plusz késleltetéssel és számítási igénnyel. A kérdés az, hogy ez a többlet megéri-e a nagyobb biztonságot – különösen nagy forgalmú rendszereknél.

Miért nehéz az átállás?

A kliensoldali titkosítással ellentétben itt több szereplő összehangolt munkájára van szükség. Az autoritatív szerverek üzemeltetőinek, a rekurzív resolvereknek, a regisztrátoroknak és a hosztingcégeknek egyaránt támogatniuk kell az új protokollokat. Egyedül egyik fél sem tudja bevezetni.

Mit tehetsz most?

Ha NameOcean-nál tartod a domainjeidet, érdemes figyelemmel kísérni a fejleményeket. Érdemes bekapcsolni a naplózást, és figyelni a szokatlan lekérdezési mintákat. DNSSEC-et egyelőre érdemes használni, amíg a teljes körű titkosítás el nem terjed. Az elemzőeszközeinkkel könnyen észlelheted az anomáliákat.

Hová tart ez az egész?

Az OARC megbeszélései azt mutatják, hogy a közösség tisztában van a problémával és aktívan keresi a megoldást. Nem az a kérdés, hogy lesz-e titkosított kommunikáció az autoritatív szerverek felé, hanem az, hogy mikor és milyen formában terjed el. Valószínűleg fokozatosan, a nagyobb szolgáltatók vezetésével.

NameOcean Vibe Hosting AI-alapú rendszereit is erre hangoljuk – hogy a háttér-infrastruktúra kövesse a biztonsági trendeket, te pedig ne kelljen minden részlettel foglalkoznod.

Összefoglaló

A resolver és az autoritatív szerver közötti titkosítás a DNS-biztonság következő lépcsőfoka. Nem látványos, de alapvetően befolyásolja, mennyire megbízható a domain-infrastruktúrád. Érdemes figyelemmel kísérni, mert a mostani döntések határozzák meg, milyen védelmet kapsz néhány év múlva.