DNSSEC: proteggi il tuo dominio

Proteggi il tuo dominio dal Cache Poisoning

Negli ultimi anni, gli hacker hanno sviluppato tecniche di poisoning a danno dei server DNS. In questo modo, sono riusciti a reindirizzare il traffico verso i propri server (phishing, ecc...) falsificando le risposte del DNS. Proteggi fin da ora i tuoi server DNS con la nostra soluzione DNSSEC.

DNSSEC

Incluso

- DNS sicuro
- Protezione contro il Cache Poisoning
- Attivabile dallo Spazio Cliente

Ordina un dominio
Richiesta_inviata_al_server_DNS

Come si svolgono un attacco e la protezione tramite DNSSEC

L'utente inserisce l'indirizzo www.ovhcloud.com nel browser. La richiesta viene inviata al server DNS, che restituisce l'indirizzo IP corrispondente: 213.186.33.34.

IP_convalidato

Da questo momento il browser conosce l'indirizzo IP del server Web che contiene la pagina www.ovhcloud.com. Invia quindi una richiesta a questo IP, che risponde con il suo contenuto.

Un hacker_rileva_una_falla_nel_server_DNS

La minaccia: il Cache Poisoning

Se un hacker rileva una falla nel server DNS, si può inserire nel server e modificare l'indirizzo corrispondente a www.ovhcloud.com tramite l'IP di un server secondario di sua proprietà: 203.0.113.78.

DNS_infetto

Quando l'utente inserisce l'indirizzo www.ovhcloud.com, il browser si dirige verso il server DNS per recuperare l'indirizzo IP corrispondente. Il DNS infetto restituisce l'indirizzo inserito dall'hacker: 203.0.113.78.

Pagina_hackerata

Il browser utilizza questo indirizzo IP per accedere al contenuto del sito. Il server pirata gli rinvia una pagina simile a www.ovhcloud.com per ottenere i suoi dati personali (phishing).

DNSSEC_garantisce_autenticità_della_risposta_DNS

A cosa serve DNSSEC?

DNSSEC garantisce l'autenticità della risposta del DNS. Quando il browser invia una richiesta, il servizio restituisce una chiave di autenticazione che attesta la legittimità dell'IP fornito.

IP_convalidato

In questo modo, l'utente ha la certezza di accedere a un sito autentico quando riceve un indirizzo IP approvato da DNSSEC. L'obiettivo è quello di individuare le anomalie nelle richieste.

DNS_protetto_da_DNSSEC

Se un hacker tenta di modificare la tabella contenuta nel server DNS protetto da DNSSEC, quest'ultimo rifiuta la richiesta in quanto l'informazione inviata non è autenticata.

Attiva DNSSEC

Le risposte alle tue domande

Come proteggere un server DNS?

Per difendersi da questo attacco, il protocollo DNSSEC utilizza i principi della crittografia asimmetrica e della firma digitale per garantire l'autenticità dei dati e una prova di inesistenza se il record richiesto non esiste e può essere considerato fraudolento.

Attiva DNSSEC

A cosa serve un DNS?

Un server DNS serve a ottenere l'indirizzo IP corrispondente a un dominio (URL nel caso di un sito Web). Si tratta di una sorta di elenco telefonico. Il servizio DNS traduce i domini in indirizzi IP e in altri tipi di record. L'indirizzo IP è necessario al browser per contattare il server Web responsabile del sito che si desidera visitare, perché l'indirizzo IP identifica in modo unico ogni macchina collegata a Internet, esattamente come un numero di telefono. E' un elemento discreto ma cruciale per la sicurezza su Internet. Un esempio di server DNS è il server BIND, il più diffuso su Internet.

Attualmente, gli indirizzi IP sono principalmente registrati in IPv4 e sta iniziando la transizione agli indirizzi IPv6. Ogni associazione di dominio a un indirizzo IP è unica.

I server DNS hanno una gerarchia. La radice (root), generalmente rappresentata da un punto, è il centro gerarchico più alto. All’interno di un dominio è possibile creare diversi sottodomini che, a loro volta, possono creare deleghe di sottodomini ospitati su altri server. Le deleghe creano quindi zone che hanno il proprio sistema gerarchico. I domini appena sotto la radice sono i domini primari (TLD, Top Level Domain). Gli aggiornamenti vengono effettuati sul server primario del dominio. Il trasferimento di zona consiste nella riproduzione dei record del server primario da parte dei server secondari.

In cosa consiste una ricerca su un server DNS?

Quando un host cerca un dominio, percorre l'intera gerarchia del DNS in modo iterativo fino al dominio preciso. Un Internet Service Provider mette a disposizione dei propri clienti dei server DNS ricorsivi che effettuano ricerche di questo tipo. Quando questi server eseguono una ricerca di un indirizzo IP, inviano la richiesta ai server root e ne cercano uno in grado di dare una risposta dalla lista. È possibile che vengano consultati più server prima di trovare quello corrispondente alla richiesta.

La risoluzione DNS inversa (o reverse DNS), è una ricerca effettuata a partire dall’indirizzo IP e realizzata tramite un record PTR. Questa ricerca permette di risalire al nome del server host a cui corrisponde l'indirizzo del server interessato. Se è specifica, deve contenere il record inverso di un record DNS A o AAAA. Le richieste dei server di posta online (email, ecc...) non possiedono record PTR e quindi è più probabile che non siano risolte.

Quali sono i record di un server DNS?

Un tipo di record DNS è il record SOA (Start Of Authority record), che fornisce informazioni sulla zona: server principale, email di contatto, tempistiche (ad es. data di scadenza), numero di serie della zona, ecc. È una specie di carta d'identità del server DNS. Questo record di dati DNS comporta un numero di serie che aumenta a ogni modifica del file di zona.

Il record TXT, invece, permette a un amministratore di creare del testo in un record DNS. Ogni tipo di record è associato a un TTL (Time To Live) che corrisponde alla durata di vita, cioè per quanto tempo il record è autorizzato a essere archiviato su un server cache. È qui che può verificarsi il Cache Poisoning della cache DNS.

Cos'è il Cache Poisoning?

Il Cache Poisoning è un attacco informatico che inganna un server DNS, inducendolo a credere di ricevere una risposta valida e autentica a una richiesta. In questo modo, il server DNS contaminato salva le informazioni in cache e gli utenti vengono reindirizzati verso siti sospetti che possono essere utilizzati, ad esempio, per il phishing o come canale per installare un virus.

In genere, l’hacker sfrutta una vulnerabilità del server DNS che, di conseguenza, accetta richieste imprecise o false. Le vittime, che si aspettano di accedere al contenuto desiderato, si trovano di fronte a un altro contenuto potenzialmente pericoloso.

In genere un server DNS possiede una porta 53. La dimensione massima di una risposta deve essere di 512 byte. Se supera questa dimensione, la richiesta è rinviata al Tcp 53. Un reindirizzamento di questo tipo è raro, perché i provider limitano la possibilità di trasferire zone DNS in questo modo.

Attiva DNSSEC

Come configurare una zona DNSSEC sul tuo DNS per un dominio registrato in OVHcloud?

Trovi tutte le informazioni per attivare DNSSEC nelle guide qui sotto:
Modificare una zona DNS
Modificare i server DNS