DNS-tietueiden roolin ymmärtäminen verkkosivuston toiminnallisuudessa ja turvallisuudessa

Intro

DNS on lyhenne sanoista Domain Name System. Se on keskeinen tekniikka, jonka ansiosta Internet toimii niin kuin se toimii. Sen perusmääritelmä on seuraava: "DNS vastaa verkkosivustojen IP-osoitteiden ratkaisemisesta verkkotunnuksiksi."

Todellisuudessa DNS pystyy paljon muuhunkin. DNS-toiminnot suoritetaan DNS-tietueiden avulla. DNS-tietueet ovat tekstitiedostoja, jotka sisältävät DNS:n toiminnan kannalta tärkeitä tietoja.

Tässä artikkelissa korostetaan DNS-tietueiden merkitystä verkkosivuston toiminnalle ja turvallisuudelle. Tätä varten tarkastelemme erityyppisiä DNS-tietueita ja selitämme, mitä ne tekevät verkkosivuston toiminnan tai turvallisuuden kannalta.

Tämän artikkelin lopussa sinulla on parempi näkemys verkkotunnusjärjestelmästä.

Miten DNS toimii?

DNS-tietueiden ja niiden roolin ymmärtämiseksi verkkosivuston toiminnassa ja tietoturvassa on välttämätöntä tuntea jonkin verran verkkotunnusjärjestelmää (DNS).

Kaikki alkaa tietokoneesta. Tietokonettasi, joka etsii verkkosivustoa, kutsutaan asiakkaaksi. Asiakas lähettää pyynnön DNS-resolveriksi kutsutulle palvelimelle. DNS-resolveri on palvelin, jonka palveluntarjoajasi on määrittänyt, tai voit asettaa oman palvelimesi käyttöjärjestelmäasetuksissa. Resolverin tehtävänä on käsitellä kaikki asiakkaan tekemät DNS-kyselyt.

Niinpä. Asiakas kysyy resolverilta: "Hei, haluan löytää tämän verkkotunnuksen (xyz.com). Tiedätkö sen IP-osoitteen?" Resolveri tarkistaa välimuististaan, onko verkkotunnus ja sen IP-osoite tallennettu. Jos näin ei ole, se ottaa yhteyttä DNS-hierarkiassa oleviin palvelimiin selvittääkseen, onko niillä IP-osoite.

DNS-hierarkian kuva

Kuvalähde: https://www.menandmice.com/glossary/dns-server-types

Yleensä IP-osoite löytyy suhteellisen nopeasti. Joskus resolverin on kuitenkin mentävä hierarkian huipulle asti ja kysyttävä palvelimilta, joita kutsutaan juurinimipalvelimiksi (NS).

Maailmassa on 13 juurinimipalvelinta, ja ne sisältävät kaikkien verkossa olevien verkkosivustojen IP-osoitteet. Jos verkkotunnuksen IP-osoitetta ei ole nimipalvelimissa, se tarkoittaa, että kyseisen verkkotunnuksen DNS-kysely on "ratkaisematon".

Joka tapauksessa, kun IP-osoite on löydetty, resolveri lähettää sen takaisin asiakkaalle. Tämän jälkeen asiakas tekee pyynnön palvelimelle, jonka IP-osoite on annettu, ja palvelin vastaa halutulla verkkosivustolla.

Näin yksinkertainen kysely toimii, ja kaikki tämä tapahtuu muutamassa sekunnissa. Miten DNS-tietueet tulevat kuvaan mukaan? Kaikille DNS-hierarkian palvelimille tallennetut tiedot on tallennettu DNS-tietueiden muodossa.

Verkkovastaava voi hallita DNS-tietueita käyttämällä suosittuja työkaluja, kuten cPanel, Cloudflare, GoDaddy jne. Jos haluat oppia, miten voit hallita verkkosivustoasi tällaisilla työkaluilla, lue artikkeli cPanelista. Yksityiskohtaisen dokumentaation luominen DNS-tietueiden hallinnoinnista voi olla aikaa vievää. Tekoälyn kappalegeneraattori voi auttaa tuottamaan laadukasta, informatiivista sisältöä tehokkaasti, jolloin monimutkaisten käsitteiden selittäminen selkeästi helpottuu.

Tarkistetaan nyt, miten DNS-tietueet auttavat ja edistävät verkkosivuston toimivuutta.

Erilaiset DNS-tietueet ja niiden vaikutus verkkosivuston toiminnallisuuteen

Aloitamme tarkastamalla tietueet, joilla on merkitystä verkkosivuston toiminnassa. Näitä on enemmän kuin tietoturvatietoja.

Kaikilla DNS-tietueilla on sama malli. Vasemmalta oikealle: verkkotunnus, elinaika, tietueluokka, tietueen nimi ja tietueen arvo. Useimmat tietueet eroavat toisistaan vain nimen ja arvon osalta. Alla on kuva A-tietueesta.

Kuvalähde: dnschecker

Kuvassa näkyy neljä Microsoft.comin A-tunnusta. Verkkotunnus on "microsoft.com". TTL on 1290 sekuntia, IN (internet) on luokka, A on tietueen nimi ja numerot ovat IPv4-osoite eli arvo.

Nyt kun tiedämme, miltä tyypillinen DNS-tietue näyttää, selvitetään, mitä ne tekevät ja miten ne edistävät verkkosivuston toimintaa.

1. A/AAAA-rekisterit

A- ja AAAA-tietueet tarkoittavat IPv4- ja IPv6-osoitteita. Niiden ainoa tarkoitus on yhdistää IP-osoitteet verkkotunnuksiin. Tämä on DNS:n perustoiminto, ja sen ansiosta internet toimii.

IP-osoite on, kuten ehkä tiedät, palvelimen sijainnin numeerinen (IPv4) tai heksadesimaalinen (IPv6) esitys.

Kaikki verkon sisältö on tallennettu lukuisille palvelimille eri puolilla maailmaa. Kun etsit verkkotunnusta, DNS-resolveri tarkistaa välimuististaan kaikki verkkotunnuksen A- tai AAAA-tietueet.

Jos se ei löydä niitä, se kysyy muilta hierarkiassa olevilta palvelimilta, onko niillä niitä vai ei. Kun tarvittavat A/AAAA-tietueet löytyvät, resolveri tallentaa ne välimuistiinsa, jotta niitä ei tarvitse etsiä myöhemmin.

Tähän mennessä sinun pitäisi olla jo ymmärtänyt A/AAAA-tietueiden roolin verkkosivuston toiminnassa. Ilman näitä tietueita verkkosivuston paikantaminen olisi mahdotonta. Verkkosivuston A/AAAA-tietueiden määrittäminen on siis ratkaisevan tärkeää sen toiminnan kannalta.

2. CNAME-tietue

CNAME-tietueet eivät ole yhtä kriittisiä kuin A/AAAA-tietueet, mutta niillä on omat käyttötarkoituksensa. CNAME-tietue alias-tunnisteena yhdestä verkkotunnuksesta toiseen. Yksinkertaisemmin sanottuna voit tehdä niin, että kaikki DNS-kyselyt yhdelle verkkotunnukselle lähetetään automaattisesti toiselle verkkotunnukselle.

Jos sinulla on esimerkiksi verkkotunnus nimeltä "cars.com" ja toinen verkkotunnus nimeltä "vehicles.com", voit käyttää CNAME-tietuetta alias-tunnuksen "cars.com" ja "vehicles.com" välille.

Kun joku kirjoittaa selaimensa osoiteriville "cars.com", hän päätyy sen sijaan automaattisesti sivustolle "vehicles.com". Tämä johtuu siitä, että "cars.com" -osoitteen DNS-kyselyyn vastaa CNAME-tietue, joka viittaa "vehicles.com" -osoitteen A/AAAA-tietueeseen.

Tämä on hyödyllistä sivustoille, joilla on useita samankaltaisia verkkotunnuksia. CNAME-tietueiden avulla loppukäyttäjä ohjataan aina oikealle sivustolle. Jos verkkotunnuksesi nimi on siis "xyz.org", voit luoda CNAME-tietueet "www.xyz.org":lle, jotka osoittavat "xyz.org:iin".

3. MX-tietue

MX on lyhenne sanoista mail exchange records. MX-tietueet ovat ratkaisevan tärkeitä verkkosivuston sähköpostitoiminnoille. Niiden tehtävänä on periaatteessa määritellä, mitkä sähköpostipalvelimet käsittelevät verkkotunnuksen sähköposteja.

Sanotaan, että sinulla on verkkokauppa. Sinulla on luonnollisesti sähköpostiosoite, johon asiakkaat voivat ottaa yhteyttä. Sinulla saattaa olla myös erillinen sähköpostiosoite mahdollisille liikekumppaneille.

Jos MX-tietueesi on määritetty oikein, sinulla ei ole ongelmia sähköpostien vastaanottamisessa. Kaikki verkkotunnuksesi sähköpostiosoitteeseen osoitetut sähköpostit lähetetään tietueessa määritellylle oikealle sähköpostipalvelimelle.

Ilman MX-tietuetta nämä sähköpostit menetettäisiin. Et saa niitä, koska niitä ei lähetetä millekään sähköpostipalvelimelle. Kun et saa sähköposteja, et voi vastata niihin. Tämä antaa vaikutelman, että et ole kommunikointikykyinen, ja jättää huonon vaikutelman verkkosivustosi käyttäjiin.

4. TXT-tietue

TXT-tietueet ovat epätyypillisiä tietueita, joita voidaan käyttää moniin eri toimintoihin. Kolmannen osapuolen palveluntarjoajat, kuten hakukoneet, sähköpostipalvelimet, API-palveluntarjoajat jne. voivat käyttää niitä verkkosivuston tarkistamiseen.

TXT-tietueella ei ole määritettyä arvoa kuten muilla tietueilla. Sen arvo voi olla mikä tahansa haluamasi arvo. Voit kirjoittaa minkä tahansa arvon, kunhan pysyt merkkien rajoissa.

Edellä mainitut kolmannen osapuolen palveluntarjoajat antavat verkkosivun ylläpitäjälle määritetyn arvon, jonka tämä voi lisätä TXT-tietueeseensa verkkosivuston varmentamista varten. Jos arvo on sama kuin kolmannen osapuolen palveluntarjoajan antama arvo, kyseessä on oikea verkkosivusto eikä huijari.

On myös muita tapoja käyttää TXT-tietueita turvallisuuteen, jotka tarkastelemme kohdassa "Turvallisuusosio".

5. NS-tietue

Ylivoimaisesti tärkein tietuetyyppi on NS-tietue. NS tarkoittaa nimipalvelinta. Nimipalvelimet ovat DNS-hierarkian huipulla. Ne sisältävät kaikki verkkotunnistetiedot.

NS-tietueissa ilmoitetaan, mitkä nimipalvelimet sisältävät verkkotunnuksen tietueet. Ilman NS-tietuetta hierarkiassa alempana olevat resolverit ja DNS-palvelimet eivät tietäisi, miltä palvelimelta kysyä tietoja tietystä verkkotunnuksesta.

Jos NS-tietueita ei ole, verkkosivustoasi on käytännössä mahdotonta löytää, mikä tekee siitä hyödyttömän. Tämän vuoksi varmista, että NS-tietueesi ovat kunnossa.

6. SRV-tietue

SRV tarkoittaa palvelua. Nämä tietueet määrittelevät, mitkä internetpalvelut, kuten VoIP, sähköpostit ja viestinvälitys, käyttävät mitä portteja.

Ilman SRV-tietuetta tietty liikenne tietyille porteille hylätään. Tavallisesti tämä ei ole ongelma useimmille verkkosivustoille. Jos kuitenkin käytät VoIP-palveluja, sähköpostia tai pikaviestejä käyttäviä Internet-palveluja, SRV-tietueet on asetettava oikein.

7. PTR-tietue

PTR-tietueita käytetään käänteisiin DNS-katseluihin. PTR tarkoittaa osoitinta, ja tämä tietuetyyppi kuvaa IP-osoitetta verkkotunnukseen. Se on siis vastakohta A/AAAA-tietueelle.

PTR-tietueet ovat välttämättömiä verkkosivuston toiminnalle, koska niitä käytetään todentamiseen. Joskus verkkosivustot voivat väärentää verkkotunnuksensa ja lähettää pyyntöjä toisen verkkotunnuksen palvelimelle. Palvelin voi PTR-tietueiden avulla tarkistaa, vastaako huijarin IP-osoite oikean verkkotunnuksen IP-osoitetta.

Jos pyyntö ei vastaa toisiaan, se hylätään.

Turvallisuutta edistävät DNS-tietueet

Verkkosivuston turvallisuus on erittäin tärkeää. Voit lukea siitä lisää jostain muista artikkeleistamme.

Alla on tietueita, jotka auttavat suojaamaan verkkosivustosi ja estämään erilaisia tietoturvariskejä, kuten väärentämistä ja välimuistin myrkyttämistä.

1. DNSSEC-tietueet

DNSSEC tarkoittaa DNS-turvallisuutta. Kyseessä on tietoturvaprotokolla, jonka tarkoituksena on hillitä DNS:n puutteita. DNS:ää ei nimittäin ole suunniteltu turvallisuutta silmällä pitäen. Siksi sitä oli erittäin helppo käyttää hyökkäysvektorina.

DNSSEC:n myötä otettiin käyttöön kahdenlaisia uusia tietueita. Näiden tietueiden avulla voidaan suojata muiden tietueiden sisältöä ja todentaa lähde, josta tietueet ovat peräisin.

DNSSEC toimii julkisen avaimen salauksen pohjalta. Periaatteessa DNS-tietueet allekirjoitetaan salausavaimilla sen varmistamiseksi, että niiden tietoja ei voida väärentää.

Samanlaisia avaimia käytetään varmistamaan, että tietueet ovat peräisin oikeasta lähteestä.

Tämä auttaa verkkosivujen turvallisuudessa, sillä se auttaa sinua puolustautumaan välimuistin myrkytyshyökkäyksiltä. Haitalliset toimijat voivat muuttaa resolverin välimuistissa olevia DNS-tietueita ja ohjata liikennettä saumattomasti sivustolta toiselle.

DNSSEC:n avulla voit suojella verkkosivustollesi pyrkiviä vierailijoita pahantahtoisesti tapahtuvalta uudelleenohjaukselta ja suojella mainettasi.

Katsotaanpa, miten DS- ja DNSKEY-tietueet toteuttavat tämän.

2. DNSKEY-tietue

DNSKEY-tietue sisältää julkisen avaimen. Tämä julkinen avain on vyöhykkeen yksityisen avaimen pari. Kaikki vyöhykkeen DNS-tietueet allekirjoitetaan yksityisellä avaimella, ja DNSKEY-tietueen julkista avainta käytetään allekirjoituksen tarkistamiseen.

Jos allekirjoitusta ei voida todentaa, se tarkoittaa, että tietueen tietoja on muutettu, ja tämä tietue on virheellinen.

Jäljelle jää kuitenkin kysymys: miten voidaan varmistaa, ettei itse julkista avainta ole vaarannettu? Tässä kohtaa DS-tietueet tulevat kuvaan.

3. DS Record

DS-tietue tarkoittaa Delegation Signer. Tämä on tietue, joka delegoi valtuuksia verkkotunnukselle. DNS-hierarkiassa on hallinnollisia jakoja, joita kutsutaan vyöhykkeiksi. Vyöhykkeillä voi olla vanhempia tai lapsia. Vanhempia vyöhykkeitä pidetään auktoriteettivyöhykkeinä, eli niihin luotetaan ja niiden tietoihin luotetaan.

Vanhemmat vyöhykkeet voivat delegoida valtuuksiaan lapsivyöhykkeille. Ne tekevät sen DS-tietueiden avulla. DS-tietueet sisältävät DNSKEY-tietueeseen tallennetun avaimen hashin.

Kun DNSKEY-tietueen arvon hash vastaa DS-tietueen hash-arvoa, avain on voimassa. Tämä tarkistus tehdään kaikilla tasoilla, eli vyöhykkeen vanhemmalla tasolla, sen vanhemman vanhemmalla tasolla ja niin edelleen.

4. SPF-, DKIM- ja DMARC-tietueet.

TXT-tietueilla on monia tehtäviä tietoturvan kannalta. Turvallisuuteen liittyviä TXT-tietueita kutsutaan nimillä SPF, DKIM ja DMARC. Ne liittyvät verkkotunnukseesi liittyvien sähköpostiviestien turvallisuuteen. Asettamalla ne voit turvata sähköpostin lähettäjän maineen ja parantaa verkkosivustosi sähköpostin toimitettavuutta.

Näiden tietueiden roolit liittyvät toisiinsa. Aloitetaan SPF-tietueista.

5. SPF-tietueet

SPF on lyhenne sanoista Sender Policy Framework. SPF-tietueissa luetellaan, millä sähköpostipalvelimilla on lupa lähettää sähköposteja verkkotunnuksen puolesta. Ennen kuin SPF-tietueet olivat käytössä, kuka tahansa saattoi lähettää sähköpostia ja väittää sen olevan tietystä verkkotunnuksesta. Tämä aiheutti ongelman huijareista, jotka käyttivät tällaisia sähköposteja phishingiin, haitallisiin uudelleenohjauksiin ja jopa sosiaaliseen manipulointiin.

6. DKIM-tietueet

DKIM on lyhenne sanoista Domain Keys Identified Mail. Tämä on myös eräänlainen tekstitietue. DKIM-tietueet peittävät yhden SPF-tietueiden jättämän haavoittuvuuden. Se on mahdollisuus väärentää sähköpostiosoite.

DKIM-tietueet käyttävät myös salausta varmistaakseen, että sähköposti on peräisin oikeasta lähteestä. DKIM-järjestelmässä on kaksi osaa: DNS-tietueissa oleva julkinen avain ja yksityisellä avaimella allekirjoitettu DKIM-otsake sähköpostiviestissä. Sähköpostia vastaanottavien asiakkaiden on tarkistettava, ovatko DKIM-otsikon avain ja tietueiden avaimet osa samaa paria vai eivät. Jos ne ovat, sähköposti on oikeasta lähteestä, jos eivät, sähköposti hylätään.

7. DMARC-tietueet

DKIM- ja SPF-tunnuksia käytetään sähköpostin lähteen todentamiseen ja väärennösten vähentämiseen. DMARC:n avulla kerrotaan sähköpostin vastaanottajalle, mitä tehdä, kun hän saa sähköpostiviestejä, jotka eivät läpäise edellä mainittuja tarkistuksia.

DMARC on lyhenne sanoista Domain-Based Message Authentication Reporting and Conformance.

Periaatteessa DMARC-tietueet kertovat sähköpostin vastaanottajalle, että hänen on ryhdyttävä yhteen tai useampaan seuraavista toimista, jos sähköposti ei läpäise SPF- ja DKIM-tarkistuksia.

• Merkitse sähköposti roskapostiksi.
• Anna roskapostin mennä läpi
• Hylkää roskaposti

Lisäksi ne ilmoittavat myös verkkotunnukselle, jonka sähköpostit eivät läpäise SPF- ja DKIM-tarkistuksia. Tämä auttaa verkkotunnusten omistajia tarkistamaan, onko heidän verkkotunnuksessaan ongelmia, ja ryhtymään nopeasti toimenpiteisiin lähettäjän maineen ylläpitämiseksi.

Ilman DMARC-tietueita sähköpostipalvelujen tarjoajat tekevät omat päätöksensä sähköpostien hylkäämisestä tai hyväksymisestä. Tällä voi olla outoja seurauksia verkkotunnuksesi maineelle (ja siten myös verkkosivustosi maineelle). On siis parempi hallita asiaa.

Päätelmä

Nyt näet, miten DNS-tietueet ovat elintärkeitä verkkosivuston toiminnalle ja turvallisuudelle. Ilman DNS-tietueita verkkosivustojen paikantaminen on mahdotonta. DNS vastaa myös verkkosivuston yksittäisten palvelujen (kuten sähköpostin ja VoIP:n) porttien määrittelystä.

DNS-suojaustietueiden avulla estät muita käyttämästä verkkosivustosi nimeä väärin vahingoittamiseen. Varmistat myös, että verkkosivustosi sähköpostin lähettäjän maine säilyy, mikä johtaa siihen, että useammat sähköpostit löytävät tiensä kuluttajien postilaatikoihin.