Det usikrede mellomleddet i DNS som få snakker om

De fleste diskusjoner om DNS-sikkerhet handler om validering med DNSSEC eller krypterte spørringer til recursive resolvere. Men det finnes en viktig svakhet som ofte blir oversett: kommunikasjonen mellom resolveren og authoritative nameservere.

Denne trafikken går ofte ukryptert over internett. Selv om brukernes spørringer er beskyttet med DoH eller DoT, er det backend-spørringene – de som henter selve domenedataene – som fortsatt er sårbare.

Hvorfor dette har betydning for infrastrukturen din

En angriper med tilgang til nettverket kan avskjære disse spørringene og sette inn falske svar. Det åpner for flere risikoer:

• Spoofing-angrep som omdirigerer trafikk før den når resolveren
• Lekkasje av informasjon om domenestruktur og spørringsmønstre
• Cache poisoning som rammer flere brukere samtidig
• Rekognosering for DDoS ved å analysere DNS-mønstre

For selskaper som bruker NameOcean, er DNS bokstavelig talt virksomhetens adressesystem. Hvis noen kan manipulere disse oppslagene, kan de både omdirigere brukere og ta ned tjenester.

Krypterte løsninger under utvikling

Bransjen jobber med flere alternativer for å sikre denne delen av DNS-trafikken:

DoT mot authoritative nameservere: TLS-kryptering tilpasset resolver-til-authoritative-kommunikasjon, med hensyn til trafikkvolum og ytelse.

DoH for authoritative oppslag: Basert på HTTP/2 eller HTTP/3, som gir bedre ytelse og støtte i eksisterende infrastruktur.

Ytelsesutfordringer: Kryptering legger til både forsinkelse og prosessorkrav. Spørsmålet er om gevinsten i sikkerhet veier opp for kostnaden – spesielt for resolvere som håndterer millioner av spørringer i sekundet.

Utfordringen med bred adopsjon

I motsetning til kryptering på klientsiden, som allerede er implementert i de fleste nettlesere og operativsystemer, krever kryptering på authoritative-nivå samarbeid mellom flere aktører:

• Driftere av authoritative nameservere
• Operatører av recursive resolvere
• Registrarer og hosting-leverandører
• Resten av DNS-infrastrukturen

Det er ikke noe du kan løse alene. Både registrarens nameservere og hosting-leverandørens DNS-oppsett må støtte løsningen.

Hva du kan gjøre i dag

Hvis du bruker NameOcean til domenene dine, er dette de viktigste tiltakene:

1. Følg med på utviklingen rundt kryptert DNS-transport
2. Sjekk DNS-loggene dine for uvanlige spørringsmønstre via analyseverktøyene våre
3. Vurder DNSSEC som et midlertidig sikkerhetstiltak
4. Aktiver logging av DNS-spørringer for å oppdage avvik tidlig

Veien videre

OARC-diskusjonene viser at DNS-miljøet er klar over problemet og jobber aktivt med løsninger. Spørsmålet er ikke om kryptert authoritative DNS blir standard, men når og hvordan.

Adopsjonen vil trolig skje gradvis. Store DNS-leverandører implementerer støtte først, deretter følger resten etter som ytelsesproblemene løses.

Hos NameOcean følger vi denne utviklingen tett. Vår Vibe Hosting-plattform er bygget for å holde tritt med nye sikkerhetskrav – slik at infrastrukturen din tar seg av det tunge løftet.

Kort oppsummert

Kryptert DNS mellom resolvere og authoritative nameservere er neste steg i DNS-sikkerhet. Det er ikke noe brukerne ser, men det er avgjørende for å beskytte domenenes integritet. Når teknologien modnes, blir det like viktig å velge registrar og hosting-leverandør som støtter dette, som andre sikkerhetstiltak.

Samtalene som foregår i OARC i dag, former infrastrukturen du stoler på i morgen. Det er verdt å følge med.