Di cosa si tratta, a cosa serve e come funziona
Di cosa si tratta
Sappiamo a cosa serve il DNS (Domain Name System), il DNSSEC (Domain Name System Security Estensions) è un insieme di specifiche che sono state approvate dallo IETF, un organismo internazionale composto da ricercatori e tecnici impiegati nello studio dell’evoluzione tecnica e tecnologica di internet.
DNSSEC è nato inizialmente per combattere e arginare gli attacchi di cache poisoning che hanno l’obbiettivo di alterare la cache dei server DNS in modo da fornire informazioni alterate alle richieste di interrogazione che arrivano dai Client.
A cosa serve
Il DNSSEC fronteggia quindi questo tipo di attacchi e le aggressioni di tipo MITM verificando le richieste e le risposte durante la risoluzione dei nomi a dominio.
E’ importante considerare che non tutti i TLD sono compatibili a questo protocollo.
Come funziona
Il protocollo DNSSEC utilizza la crittografia asimmetrica, di conseguenza, usa uno schema che prevede l’impiego di due chiavi : una privata e una pubblica.
Quando un utente accede a un sito web viene inviata una richiesta di risoluzione del nome a dominio al server DNS.
Se la corrispondenza tra indirizzo IP non fosse già nota a livello locale, allora il sistema interroga il server DNS impostato dall’utente .
Se il server DNS interpellato non conoscesse l’IP corrispondente al nome a dominio indicato allora si attiva il cosiddetto meccanismo della ricorsione: si parte dalla radice interrogando uno dei server root nel dominio di primo livello, si ottiene il server che lo gestisce, si procede con un’interrogazione nel dominio di secondo livello fino a raggiungere il server autorevole per il nome desiderato.
Nel caso di DNSSEC, in caso di disponibilità di record DS, viene richiesta la chiave che consente al server di verificare che le informazioni ricevute siano identiche al record presente sul server autoritativo per il nome a dominio indicato.
Se il server ricorsivo determina che il record dell’indirizzo è stato inviato dal server autoritativo e non è stato modificato durante il percorso, il nome a dominio viene risolto e l’utente può accedere al sito (procedura di convalida).
Diversamente, se il record fosse stato modificato o non provenisse dall’origine indicata, il server ricorsivo non consente al browser di raggiungere quello che a tutti gli effetti viene considerato un indirizzo fraudolento diverso da quello ufficiale.
