Servizio DNSSEC

Per proteggere il tuo dominio dal Cache Poisoning

Perché attivare DNSSEC

Un server DNS serve a ottenere l'indirizzo IP che corrisponde a un dominio e la sua struttura assomiglia a quella di un elenco telefonico. Per contattare il server Web responsabile del sito che vuoi visitare il browser ha bisogno dell'indirizzo IP, che identifica in modo univoco ogni macchina connessa a Internet esattamente come un numero di telefono. Questa associazione è fondamentale per garantire la sicurezza in rete.

Negli ultimi anni alcuni hacker hanno sviluppato tecniche di poisoning a danno dei server DNS. In questo modo, sono riusciti a reindirizzare il traffico verso i propri server (phishing, ecc...) falsificando le risposte del DNS.

Attiva DNSSEC

Vuoi configurare una zona DNSSEC sul tuo server dedicato?

Consulta la guida

Come funziona un DNS?

L'utente inserisce l'indirizzo www.ovh.it nel browser. La richiesta viene inviata al server DNS, che restituisce l'indirizzo IP corrispondente: 213.186.33.34.

Da questo momento il browser conosce l'indirizzo IP del server Web che contiene la pagina www.ovh.it. Invia quindi una richiesta a questo IP, che risponde con il suo contenuto.

La minaccia: il cache poisoning

Un hacker ha individuato un bug in un server DNS. Riesce a introdursi nel server e a modificare l'indirizzo corrispondente a www.ovh.it sostituendolo con l'IP di un server di sua proprietà: 203.0.113.78.

Quando l'utente digita l'indirizzo www.ovh.it, il browser invia la richiesta al server DNS per recuperare l'IP corrispondente. Il DNS infetto restitusce l'indirizzo inserito dall'hacker: 203.0.113.78.

Il browser utilizzerà questo indirizzo IP per ottenere il contenuto del sito e il server pirata mostrerà una pagina molto simile a www.ovh.it allo scopo di sottrarre, ad esempio, i dati personali dell'utente (phishing).

A cosa serve DNSSEC?

DNSSEC garantisce l'autenticità della risposta del DNS. Quando il browser invia una richiesta, il servizio restituisce una chiave di autenticazione che attesta la legittimità dell'IP fornito.

In questo modo, l'utente ha la certezza di accedere ad un sito autentico.

Se un hacker tenta di modificare la tabella contenuta nel server DNS protetto da DNSSEC, quest'ultimo rifiuta la richiesta in quanto l'informazione inviata non è autenticata.