DNSSECの仕組み
セキュリティを強化する拡張機能の1つである「DNSSEC」について説明します。
DNSSECの仕組み
DNSSECは「Domain Name System Security Extensions」の略で、DNSデータが改ざんされていないことと、正しい送信元から送られてきたことを証明する技術です。
DNSへの攻撃である「DNSキャッシュポイズニング」などを防ぎ、インターネットの安全性を高めます。公開鍵暗号技術を用いたデジタル署名により、DNSの応答を検証することで実現されます。
オリジナルのデータであることの証明:
データの作成元が正当なネームサーバーであることを確認します。
データの完全性の証明:
データが途中で欠落したり改ざんされたりしていないことを確認します。
デジタル署名と公開鍵:
権威DNSサーバーがDNSレコードに秘密鍵でデジタル署名を行い、公開鍵をインターネット上に公開します。
検証:
DNSリゾルバー(クライアント)は、受け取ったレコードと署名を公開鍵で照合することで、データが正しいものかどうかを検証します。
信頼の連鎖:
複数のサーバーにまたがるDNSの構造に沿って、信頼できる情報が連鎖する仕組みを構築することで、検証が成立します。
◾️注意点
DNSSECは通信を暗号化する機能(機密性)はなく、あくまでデータの改ざんや偽装を防ぐための技術です。
DNSSECに対応するには、自分の利用しているホスティングサービスやプロバイダーが対応しているかを確認し、必要な設定を行う必要があります。
DNSSECが防ぐ攻撃
DNSSECの導入により、以下のようなDNS関連の攻撃を防ぐことができます。
DNSキャッシュポイズニング:不正なDNS情報でキャッシュを汚染する攻撃。
中間者攻撃:ユーザーとWebサーバーの間に割り込み、通信内容を盗み見たり改ざんしたりする攻撃。
DNSSECのメリット
ユーザーは、フィッシングサイトなど偽のWebサイトではなく、本来アクセスしたいWebサイトに誘導されることが保証されます。
DNSの信頼性が向上し、インターネット全体のセキュリティが強化されます。
以上、本記事では「DNSSECの仕組み」について紹介しました。