DNSSEC kan bidra til bedre DNS-sikkerhet og hindre mange av de angrepene som har pågått i det siste.
DNSSEC kan bidra til bedre DNS-sikkerhet og hindre mange av de angrepene som har pågått i det siste. (Illustrasjon: Norid)

DNSSEC

Advarer om økende trussel mot DNS-infrastrukturen

Beskyttelse finnes, men brukes av altfor få.

DNS (Domain Name System) er blant de aller viktigste tjenestene på internett. Dersom DNS ikke fungerer på riktig måte, vil svært mye slutte å fungere, inkludert web, epost og mange mobilapper.

I likhet med veldig mye annen av den aldrende teknologien på internett, er ikke DNS lagd for å være veldig motstandsdyktig mot misbruk og angrep. Mye fungerer på samme måte i dag som for 30-40 år siden. 

Betydelig risiko

Nå mener Internet Corporation for Assigned Names and Numbers (ICANN), som blant annet har ansvaret for koordinering av toppnivådomenene, at det foreligger en pågående og betydelig risiko mot sentrale deler av DNS-infrastrukturen. 

Bakgrunnen er rapporter om omfattende angrep hvor DNS-servere kapres eller «forgiftes», og trafikken rutes om. Dette gjøres for å kunne avlytte trafikken eller for å levere falske tjenester til brukerne. 

DNSSEC

I midten av forrige tiår ble det lagd en utvidelse til DNS som gir tjenesten visse sikkerhetsegenskaper. Denne utvidelsen kalles for DNSSEC og gjør det mulig for klientprogramvare å oppdage uautorisert endring av DNS-informasjon. Dette kan hindre at brukere ledes inn på ville veier. 

For at DNSSEC skal fungere, må det støttes av både leverandøren av toppnivådomenet, registraren hvor det aktuelle domenet er registrert og av DNS-serverne som domenet er oppført. 

Mange norske domeneregistrarer var relativt tidlig ute med å støtte DNSSEC, slik at nærmere halvparten av alle norske domener var sikret med teknologien i mai 2015. Ifølge Norid er andelen nå på 58 prosent for .no-domenene. 

For lite utbredt

Ifølge en oversikt Norid publiserte i fjor høst, ligger Norge svært godt an globalt når det gjelder sikring av domenenavn med DNSSEC. Cloudflare skrev i september fjor at bare ynkelige 3 prosent av nettstedene til Fortune 1000-selskapene var beskyttet med DNSSEC på dette tidspunktet.

Andelen burde ha ligget helt i motsatt ende av skalaen. 

ICANN publiserte for knapt to uker siden en sjekkliste som ulike aktører i DNS-bransjen anbefales å følge når de skal sikre komponenter i DNS-infrastrukturen mot angrep. 

De fleste av punktene er like gyldige i forbindelse med drift av andre IT-tjenester. 

Les også: En betydelig del av DNS-spørringene globalt blir avlyttet. Utdaterte servere bidrar til at sikkerhets­tiltak ikke fungerer

Kommentarer (1)

Kommentarer (1)
Til toppen