Previene gli attacchi di spoofing DNS
Controllo DNSSEC:
Controllo dei record DNSSEC
Utilizzare questo strumento per cercare e convalidare il proprio record DNSSEC.
Stato del DNSSEC
DNSSEC presso la società di registrazione
DNSSEC sui server dei nomi
Analizzare il DNSSEC nel modo giusto con PowerDMARC
Comprendere il protocollo DNSSEC
Il DNSSEC (Domain Name System Security Extensions) è un'estensione di sicurezza che funziona come un sigillo di autenticità per i siti web. Assicura che ogni volta che si digita un indirizzo web nel browser (ad esempio www.adomainname.com) si venga reindirizzati al sito web corretto invece che a uno fraudolento.
Non si tratta di un singolo tipo di record, ma piuttosto di una suite di estensioni che aggiungono firme crittografiche ai record DNS esistenti. Ciò contribuisce a garantire l'autenticità e l'integrità dei dati DNS, proteggendo da vari attacchi come il DNS poisoning e lo spoofing.
Ecco i principali tipi di record DNSSEC:
DNSKEY: contiene la chiave pubblica utilizzata per verificare le firme digitali di altri record DNSSEC della zona.
RRSIG: contiene la firma digitale per uno specifico record set (ad esempio, A, MX, ecc.).
DS: contiene una versione con hash del record DNSKEY, utilizzato per la delega e l'ancoraggio della fiducia.
Aggiungendo questi tipi di record a una zona DNS, il DNSSEC consente ai resolver di verificare l'autenticità delle risposte DNS, fornendo un livello di sicurezza superiore per la risoluzione dei nomi di dominio.
L'importanza di impostare il protocollo DNSSEC
I rischi del mancato utilizzo del protocollo DNSSEC
Rischio di impersonificazione
I domini con DNSSEC disattivato sono facili bersagli di impersonificazione per gli hacker.
Rischio di attacchi informatici
I domini con DNSSEC disattivato sono molto più vulnerabili agli attacchi informatici come lo spoofing DNS e il Man-in-the-middle.
Rischio di danni alla reputazione
Senza DNSSEC, i domini sono soggetti a danni alla reputazione e alla sfiducia degli utenti.
Come controllare lo stato del DNSSEC: Passo dopo passo
Utilizzo del nostro strumento di verifica DNSSEC
Potete verificare facilmente se il DNSSEC è abilitato per il vostro dominio utilizzando il nostro strumento di analisi DNSSEC. Questo processo di ricerca del DNSSEC è istantaneo, privo di errori e il più conveniente con il nostro strumento, che fornisce risultati accurati ogni volta!
- Inserite il vostro nome di dominio (ad es. azienda.com)
- Premete il pulsante "Cerca".
- Analizzare i risultati della convalida DNSSEC
Verifica del DNSSEC con gli strumenti della riga di comando
È possibile utilizzare uno strumento a riga di comando come Dig per verificare lo stato del DNSSEC, tuttavia questo processo di ricerca del DNSSEC è un po' più complicato rispetto all'uso di uno strumento automatico.
- Installare Dig se non è preinstallato sul sistema operativo in uso
- Aprire il prompt dei comandi di dig
- Eseguite il seguente comando:
dig +dnssec +multi - Analizzare i risultati
Assicurarsi che il DNSSEC funzioni correttamente
Interpretare i risultati della convalida DNSSEC
Risultato: Valido
Spiegazione: Tutto sembra funzionare con la configurazione DNSSEC per questo dominio. Il protocollo DNSSEC è attivato sia a livello di società di registrazione che di server dei nomi e il dominio è protetto da una firma DNSSEC. Ciò indica che tutte le richieste DNS per questo dominio vengono autenticate accuratamente per garantire che le risposte siano autentiche e affidabili.
Risultato: Non valido
Spiegazione: L'impostazione DNSSEC per il dominio non funziona correttamente poiché è disattivata sia a livello di società di registrazione che di server dei nomi. Il dominio non dispone di una firma DNSSEC per la convalida dell'autenticità delle query DNS. Si consiglia di abilitare il protocollo DNSSEC per aumentare la sicurezza del sistema DNS del dominio.
Errori di convalida del DNSSEC e soluzioni
1. Registri mancanti o errati
Emissione: Il record DS (Delegation Signer) o il record DNSKEY sono mancanti, mal configurati o contengono errori. Ciò comporta l'interruzione della catena di fiducia e di conseguenza il fallimento della convalida DNSSEC.
Soluzione: Assicurarsi di modificare e impostare i record DS e DNSKEY senza errori.
2. DNSSEC non impostato correttamente
Emissione: Il protocollo DNSSEC deve essere impostato correttamente sia nella società di registrazione che nei server dei nomi. Se non è impostato in nessuno dei due, la convalida del DNSSEC fallisce e può causare problemi di risoluzione DNS per il dominio.
Soluzione: Controllare e configurare il DNSSEC sia nella società di registrazione che nei server dei nomi.
3. Firme DNSSEC scadute
Emissione: La firma DNSSEC (RRSIG) ha superato la data di scadenza, con conseguente fallimento della convalida.
Soluzione: Utilizzare strumenti software automatizzati per firmare nuovamente i record DNS prima che venga superata la data di scadenza.
4. Record DS non corrispondenti
Problema: I record DS nella zona padre e nel DNSKEY della zona figlia non corrispondevano, causando un errore di convalida DNSSEC.
Soluzione: Assicurarsi che i record DS di entrambe le zone corrispondano e siano allineati.
Ulteriori suggerimenti per un'implementazione DNSSEC di successo
Per un'implementazione senza problemi, si possono prendere in considerazione i seguenti suggerimenti aggiuntivi: