DNSSEC - mis, miks ja kellele?

Interneti üks põhiline alustala on DNS (Domain Name System), mis on sisuliselt analoog telefoniraamatule. Kõikidel seadmetel Internetis on oma IP-aadress näiteks 195.43.87.74, uuema standardi järgi on see aadress veel pikem. Sellist aadressi on aga inimesel raske meelde jätta. Palju vähem tuleb pingutada www.internet.ee aadressi meenutamiseks. DNS-i ülesanne ongi tõlkida see inimesele mugav aadress masinate jaoks mugavaks numbriliseks aadressiks.

DNS on hierarhiline, st et ei eksisteeri ühte registrit, kust saab IP-aadressi igale interneti aadressile. Juurregister teab kus asuvad tippdomeenid nagu näiteks .ee või .com. Igal tippdomeenil on oma register selle alla kuuluvate aadressidega.

DNS on lihtne ja robustne süsteem, mis on selle loomisest 1983 aastal püsinud tänaseni sisuliselt muutumatul kujul. DNS-i loomisel pandi rõhku just selle lihtsusele ja toimimise kiirusele. DNS süsteemi ohtusid hakati teadvustama juba 90ndate alguses ja tõsisem töö süsteemi turvalisuse tõstmiseks läks lahti 1995 aastal kui avaldati Steve Bellovini uurimustöö “Using the Domain Name System for System Break-ins”. 2000ndate alguseks jõuti ühe võimaliku lahenduseni DNS-i turvalisuse tõstmisel - DNSSEC (DNS Security Extensions).

MIS?

Kui seni ei olnud interneti kasutajal muud võimalust kui uskuda, et trükkides oma interneti sirvikusse aadressiks youtube.com jõuab ta õigele lehele, siis DNSSEC lisab võimaluse selles veendumiseks. DNSSEC võimaldab kontrollida kas IP-aadress pärineb õigest allikast ja kas see jõudis kasutajani muutmata kujul. DNSSEC ei tegele näiteks andmete konfidentsiaalsuse ega kättesaadavusega.

DNSSEC töötab tuginedes avaliku võtme krüptograafiale. See tähendab, et kõik vastused DNS päringutele on digitaalselt allkirjastatud vastaja poolt ning interneti kasutajat teenindav nimeserver saab kontrollida kas allkiri on korrektne - pärineb õigest allikast ja vastab saadud vastusele.

MIKS?

DNSi andmete võltsimine on potentsiaalselt üks ohtlikumaid ründeid internetis, sest kasutajal pole sisuliselt võimalik aru saada, et ta on ohver. Internetipoe leheküljest usutavalt sarnase koopia tegemine ei ole ületamatu probleem ja kui nüüd õnnestub kasutajale õige lehe asemel ette sööta võlts e-pood on risk suur, et ühel hetkel on raha uitama läinud. Tänapäevane mitmetasandiline isikutuvastus näiteks mobiiltelefoni või elektroonilise ID (ID-kaart või Mobiil-ID) abil, aitavad seda riski vähendada, kuid paljud inimesed ei kasuta neid ning on ka teenuseid, mis ei paku sellist võimalustki.

KELLELE?

Seega on DNSSEC-i eesmärk õilis - kaitsta interneti kasutajat. Selleks aga, et kasutajale seda hingerahu ja kindlustunnet pakkuda, peavad nii domeeniregistrid, interneti teenuse pakkujad kui ka domeeni omanikud seda kasutaja jaoks võimaldama.

Domeeni omanikule on DNSSEC-i juurutamine või juurutamata jätmine prestiiži ja usalduse küsimus. Kui vastavalt koduleheküljel või portaalis ei koguta kasutaja isikuandmeid, ei tehta tegemist rahaga ega jagata informatsiooni, mille vale esitlemisega võib kaasneda märkimisväärseid probleeme, siis DNSSEC midagi olulist domeenile juurde ei anna. Muul juhul annab aga domeeni omanik DNSSEC-ga oma kasutajatele ja klientidele märku, et nende andmete kaitsmist võetakse tõsiselt.

Nagu igal tehnoloogial, on ka DNSSEC-l kõige hea kõrval omad puudused. Neist juba järgmises postituses.