DNS-säkerhetens blinda fläck

De flesta som pratar om DNS-säkerhet fokuserar på DNSSEC eller krypterade frågor till sina rekursiva resolver. Men det finns en svaghet som sällan nämns: sträckan mellan resolvern och de auktoritativa nameserverna. Där färdas trafiken fortfarande i klartext.

Vad händer egentligen på den vägen?

När din resolver behöver hämta information om en domän skickar den en fråga till den auktoritativa servern. Den här förfrågan går ofta över internet utan någon kryptering alls. Även om användaren skyddas av DoH eller DoT, ligger den riktiga informationen oskyddad under överföringen.

Det innebär att den som har tillgång till nätverkstrafiken kan läsa, ändra eller ersätta svaren. För den som driver en webbplats eller tjänst är det en direkt risk.

Konsekvenser för din infrastruktur

En angripare kan till exempel:

• Skicka falska svar som leder besökare till fel platser
• Läsa av vilka domäner du använder och hur ofta de efterfrågas
• Förgifta cacher så att många användare drabbas samtidigt
• Kartlägga din DNS-trafik inför en större attack

För startups som använder NameOcean blir det extra tydligt hur viktig DNS:en är. Den styr vart trafiken hamnar. Om någon kan manipulera den kan de både stjäla trafik och slå ut tjänster.

Krypterade lösningar på gång

Branschen tittar på flera sätt att lösa det här. Två huvudspår är DoT och DoH även för auktoritativa förfrågningar. Skillnaden mot vanlig DoT/DoH är att protokollen anpassas för högre volym och annan typ av trafik.

Men det finns en hake. Krypteringen innebär extra belastning, både i form av fördröjning och processorkraft. Frågan som diskuteras på OARC-möten är om nyttan väger upp kostnaden, särskilt för stora resolver som hanterar miljontals frågor per sekund.

Samordning krävs

Till skillnad från kryptering på klientsidan, som webbläsare och operativsystem redan har byggt in, kräver det här samverkan mellan flera aktörer. Namnserveroperatörer, resolverleverantörer, registrarer och hostingbolag behöver alla vara med på tåget.

Det går inte att lösa ensidigt. Din registrar måste stödja det. Din hostingleverantör måste stödja det. Och de stora resolverna måste vara redo att använda det.

Vad du kan göra nu

Om du använder NameOcean kan du:

• Hålla koll på hur utvecklingen går – det här kommer att bli standard så småningom
• Granska dina DNS-loggar regelbundet via våra verktyg
• Använda DNSSEC som ett extra skydd under tiden
• Slå på loggning för att upptäcka avvikande mönster tidigt

Framtiden

OARC-diskussionerna visar att problemet är känt och att arbetet med lösningar pågår. Det handlar inte om om krypterad trafik mellan resolver och auktoritativ server blir standard, utan när och hur.

Utvecklingen kommer troligen att gå stegvis. Stora aktörer börjar, prestandaproblem åtgärdas över tid, och sedan följer resten efter.

På NameOcean följer vi den här utvecklingen noga. Vår Vibe Hosting-plattform är byggd för att ligga steget före när det gäller säkerhet och prestanda. Du ska kunna fokusera på din verksamhet – vi ser till att infrastrukturen håller jämna steg med hotbilden.

Sammanfattning

Krypterad DNS-trafik mellan resolver och auktoritativ server är nästa steg i DNS-säkerheten. Det syns inte för slutanvändaren, men det skyddar grunden för hela din domänstruktur. När tekniken mognar och stödet ökar blir det lika självklart att kräva det av sin registrar och hostingleverantör som andra säkerhetsåtgärder.

Det som diskuteras på OARC idag påverkar den DNS du använder imorgon. Det är värt att hålla koll på.