A DNS rekordok szerepének megértése a webhely funkcionalitásában és biztonságában

Intro

A DNS a Domain Name System (tartománynévrendszer) rövidítése. Ez az egyik alapvető technológia, amely az internet működését lehetővé teszi. Legegyszerűbb meghatározása a következő: "A DNS felelős a webhelyek IP-címeinek domainnévre való feloldásáért."

A valóságban a DNS ennél sokkal többre képes. A DNS-funkciókat a DNS-rekordok segítségével hajtják végre. A DNS-rekordok olyan szöveges fájlok, amelyek a DNS működéséhez elengedhetetlenül fontos információkat tartalmaznak.

Ez a cikk kiemeli a DNS-bejegyzések fontosságát a weboldal működése és biztonsága szempontjából. Ennek érdekében megnézzük a DNS-bejegyzések különböző típusait, és elmagyarázzuk, hogy mit tesznek a weboldal működésével vagy biztonságával kapcsolatban.

A cikk végén jobb rálátása lesz a domainnévrendszerre.

Hogyan működik a DNS?

A DNS-rekordok és a weboldal működésében és biztonságában betöltött szerepük megértéséhez elengedhetetlen a domainnévrendszer (DNS) ismerete.

Tehát minden a számítógépével kezdődik. Az Ön számítógépét, amely egy weboldalt keres, kliensnek nevezzük. Az ügyfél egy DNS-feloldónak nevezett kiszolgálóhoz fordul a kérésével. A DNS-feloldó az internetszolgáltatója által kijelölt kiszolgáló, vagy beállíthatja a sajátját az operációs rendszer beállításaiban. A feloldó feladata az ügyfél által feltett összes DNS-kérdés kezelése.

Szóval. Az ügyfél megkérdezi a feloldót: "Hé, meg akarom találni ezt a domainnevet (xyz.com). Tudod az IP-címét?" A reszolver ellenőrzi a gyorsítótárát, hogy megnézze, tárolja-e a domainnevet és az IP-címét. Ha nem, akkor kapcsolatba lép a DNS-hierarchiában lévő szerverekkel, hogy megtudja, rendelkeznek-e az IP-címmel.

DNS hierarchia kép

Kép forrása: https://www.menandmice.com/glossary/dns-server-types

Általában az IP-cím viszonylag gyorsan megtalálható. Néha azonban a feloldónak egészen a hierarchia tetejéig kell eljutnia, és le kell kérdeznie a gyökérnévkiszolgálóként (NS) ismert kiszolgálókat.

A világon 13 root névszerver létezik, és ezek tartalmazzák a világhálón található összes weboldal IP-címét. Ha egy domain IP-címe nem létezik a névszervereken, akkor az azt jelenti, hogy az adott domainre vonatkozó DNS-kérés "megoldhatatlan".

Mindenesetre, miután az IP-cím megvan, a reszolver visszaküldi azt az ügyfélnek. Az ügyfél ezután kérést intéz a megadott IP-címen lévő kiszolgálóhoz, és a kiszolgáló válaszol a kívánt weboldallal.

Így működik egy egyszerű lekérdezés, és mindez másodpercek alatt történik. Hol jönnek a képbe a DNS rekordok? Nos, a DNS-hierarchia összes szerverén tárolt információk DNS-rekordok formájában vannak tárolva.

A DNS-rekordokat a webmester olyan népszerű eszközökkel kezelheti, mint a cPanel, a Cloudflare, a GoDaddy stb. Ha szeretné megtudni, hogyan kezelheti webhelyét ilyen eszközökkel, olvassa el a cPanelről szóló cikkünket. A DNS-rekordok kezeléséről részletes dokumentáció készítése időigényes lehet. Egy AI bekezdésgenerátor segíthet a kiváló minőségű, informatív tartalom hatékony előállításában, megkönnyítve az összetett fogalmak világos magyarázatát.

Most pedig nézzük meg, hogyan segítik és segítik a DNS-rekordok a weboldal működését.

Különböző DNS rekordok és hogyan járulnak hozzá a weboldal funkcionalitásához

Azzal kezdjük, hogy megnézzük azokat a rekordokat, amelyek szerepet játszanak a weboldal működésében. Ezek a biztonsági rekordokhoz képest nagyobb számban vannak jelen.

Minden DNS-bejegyzés ugyanazt a sablont használja. Balról jobbra haladva a domainnév, az élettartam, a rekordosztály, a rekord neve és a rekord értéke. A legtöbb rekord csak a névben és az értékben különbözik. Az alábbiakban egy A rekord képe látható.

Kép forrása: dnschecker

A képen a Microsoft.com négy A rekordja látható. A tartománynév "microsoft.com". A TTL 1290 másodperc, az IN (internet) az osztály, az A a rekord neve, a számok pedig az IPv4-cím, azaz az érték.

Most, hogy tudjuk, hogyan néz ki egy tipikus DNS-rekord, értsük meg, hogy mit csinálnak, és hogyan járulnak hozzá a weboldal funkcionalitásához.

1. A/AAAA rekordok

Az A és AAAA rekordok az IPv4 és IPv6 címeket jelölik. Egyetlen céljuk, hogy az IP-címeket hozzárendeljék egy tartománynévhez. Ez a DNS legalapvetőbb funkciója, és ez teszi lehetővé az internet működését.

Az IP-cím, mint azt már bizonyára tudja, egy kiszolgáló helyének numerikus (IPv4) vagy hexadecimális (IPv6) megjelenítése.

A világhálón található összes tartalom a világ számos szerverén tárolódik. Amikor egy tartománynévre keres, a DNS-feloldó ellenőrzi a gyorsítótárában a tartományra vonatkozó A vagy AAAA rekordokat.

Ha nem találja őket, akkor lekérdezi a hierarchiában lévő többi kiszolgálót, hogy azok rendelkeznek-e velük vagy sem. Ha megtalálja a megfelelő A/AAAA rekordokat, a feloldó elmenti azokat a gyorsítótárába, hogy később ne kelljen keresnie őket.

Mostanra már össze kellett raknia az A/AAAA rekordok szerepét a weboldal funkcióban. E rekordok nélkül lehetetlen lenne megtalálni egy webhelyet. A webhely A/AAAA rekordjainak konfigurálása tehát kritikus fontosságú a webhely működése szempontjából.

2. CNAME rekord

A CNAME rekordok nem olyan kritikusak, mint az A/AAAA rekordok, de megvan a maguk egyedi felhasználási módja. A CNAME rekord egy tartományt egy másikhoz aliasosít. Egyszerűbben fogalmazva, elérheti, hogy az egyik tartományra irányuló DNS-lekérdezések automatikusan egy másik tartományhoz kerüljenek.

Ha például van egy "cars.com" és egy másik "vehicles.com" nevű domainje, akkor egy CNAME rekordot használhat a "cars.com" és a "vehicles.com" között.

Ez azt fogja eredményezni, hogy amikor valaki beírja a "cars.com" szót a böngésző címsorába, akkor automatikusan a "vehicles.com" oldalon találja magát. Ez azért van így, mert a "cars.com" DNS-kérdésre egy CNAME rekordot kap, amely a "vehicles.com" A/AAAA rekordjára hivatkozik.

Ez olyan weboldalak esetében hasznos, amelyek több hasonló domainnel rendelkeznek. A CNAME rekordok segítségével a végfelhasználó mindig a megfelelő webhelyre kerül. Tehát ha a domain neve "xyz.org", akkor létrehozhat CNAME rekordokat a "www.xyz.org" számára, amelyek az "xyz.org"-ra mutatnak.

3. MX rekord

Az MX a levélváltási rekordok rövidítése. Az MX rekordok létfontosságúak a weboldal e-mail funkciói szempontjából. Alapvetően az a szerepük, hogy meghatározzák, mely levelezőszerverek kezelik a domain e-mailjeit.

Tegyük fel, hogy Ön egy webáruházat üzemeltet. Nyilvánvaló, hogy van egy e-mail címe, amelyen a vásárlók kapcsolatba léphetnek Önnel. Lehet, hogy van egy külön e-mail címe a leendő üzleti partnerek számára is.

Ha az MX rekordok megfelelően vannak beállítva, akkor nem lesz probléma az e-mailek fogadásával. A domain e-mail címére küldött e-mailek a rekordban meghatározott megfelelő levelező szerverre kerülnek.

MX rekord nélkül ezek az e-mailek elvesznének. Ön nem kapná meg őket, mert egyetlen levelezőszerverre sem kerülnének elküldésre. Ha nem kapja meg az e-maileket, nem tud rájuk válaszolni. Ez azt a benyomást kelti, hogy Ön nem kommunikatív, és rossz benyomást kelt a webhely felhasználóiban.

4. TXT rekord

A TXT rekordok nem szabványos rekordok, amelyek számos funkcióra használhatók. Használhatók a weboldal ellenőrzésére harmadik fél szolgáltatók, például keresőmotorok, levelezőszerverek, API-szolgáltatók stb. által.

A TXT rekordnak nincs meghatározott értéke, mint más rekordoknak. Az értéke bármi lehet, amit csak akarsz. Amíg a karakterhatáron belül marad, bármilyen értéket beírhat.

A weboldal ellenőrzéséhez a fent említett harmadik fél szolgáltatók egy meghatározott értéket adnak a webmestereknek, amelyet hozzá kell adniuk a TXT rekordjukhoz. Ha az érték megegyezik a harmadik fél szolgáltató által megadott értékkel, akkor az azt jelenti, hogy a megfelelő weboldallal van dolguk, nem pedig egy csalóval.

Vannak más módjai is a TXT rekordok biztonsági célú használatának, amelyeket a "Biztonság" részben fogunk megvizsgálni.

5. NS rekord

Messze a legfontosabb rekordtípus az NS rekord. Az NS a névkiszolgáló rövidítése. A névszerverek a DNS-hierarchia csúcsán állnak. Ők tartalmazzák az összes domainrekordot.

Az NS rekordok részletezik, hogy mely névszerverek tartalmazzák egy tartomány rekordjait. NS-rekord nélkül a hierarchiában lejjebb elhelyezkedő feloldók és DNS-kiszolgálók nem tudnák, hogy melyik szervert kell lekérdezniük egy adott tartományra vonatkozó információ megszerzéséhez.

Ha tehát az NS-rekordok nincsenek jelen, a weboldalát gyakorlatilag lehetetlen megtalálni, ami használhatatlanná teszi. Ezért győződjön meg arról, hogy az NS rekordjai rendben vannak.

6. SRV rekord

Az SRV a szolgáltatás rövidítése. Ezek a rekordok határozzák meg, hogy mely internetes szolgáltatások, például a VoIP, az e-mailek és az üzenetküldés mely portokat használják.

SRV rekord nélkül az egyes portok forgalma megszakad. Normális esetben ez a legtöbb weboldal esetében nem jelent problémát. Ha azonban VoIP-et, e-maileket vagy azonnali üzenetküldést használó internetes szolgáltatásokat használ, akkor az SRV-rekordokat helyesen kell beállítani.

7. PTR rekord

A PTR rekordokat fordított DNS-kereséshez használják. A PTR a pointer (mutató) rövidítése, és ez a rekordtípus egy IP-címet rendel egy tartománynévhez. Ez tehát az A/AAAA rekord ellentéte.

A PTR-rekordok szükségesek a webhely működéséhez, mivel ellenőrzésre szolgálnak. Néha a webhelyek meghamisíthatják a domainnevüket, és kéréseket küldhetnek egy másik domain szerverére. A szerver a PTR rekordok segítségével ellenőrizheti, hogy a csaló IP-címe megegyezik-e a valódi domain címével.

Ha nem egyezik, a kérelem elutasításra kerül.

A biztonsághoz hozzájáruló DNS-bejegyzések

A weboldal biztonsága rendkívül fontos. Erről többet megtudhat az egyik másik cikkünkből.

Az alábbiakban olyan rekordok találhatók, amelyek segítenek a webhely biztonságának biztosításában és a különböző biztonsági kockázatok, például a hamisítás és a gyorsítótár-mérgezés megelőzésében.

1. DNSSEC rekordok

A DNSSEC a DNS-biztonságot jelenti. Ez egy olyan biztonsági protokoll, amelynek célja a DNS hiányosságainak megfékezése. A DNS-t ugyanis nem a biztonság szem előtt tartásával tervezték. Így rendkívül könnyű volt támadási vektornak használni.

A DNSSEC-vel kétféle új rekordot vezettek be. Ezek a rekordok segítenek más rekordok tartalmának biztosításában és a forrás ellenőrzésében, ahonnan a rekordok származnak.

A DNSSEC nyilvános kulcsú kriptográfia alapján működik. Alapvetően a DNS-rekordokat kriptográfiai kulcsokkal írják alá, hogy biztosítsák, hogy adataikat ne lehessen manipulálni.

Hasonló kulcsokat használnak annak biztosítására, hogy a rekordok is a megfelelő forrásból származzanak.

Ez segíti a webhely biztonságát, mivel segít a cache mérgezéses támadások elleni védekezésben. A rosszindulatú szereplők megváltoztathatják a DNS-bejegyzéseket a feloldó gyorsítótárában, és zökkenőmentesen átirányíthatják a forgalmat az egyik webhelyről egy másikra.

A DNSSEC segítségével megvédheti a webhelyét elérni kívánó látogatókat a rosszindulatú átirányítástól, és megőrizheti hírnevét.

Nézzük meg, hogyan valósítják meg ezt a DS és a DNSKEY rekordok.

2. DNSKEY rekord

A DNSKEY rekord egy nyilvános kulcsot tartalmaz. Ez a nyilvános kulcs a zóna privát kulcsának párja. A zóna összes DNS-bejegyzését a magánkulccsal írják alá, és a DNSKEY rekord nyilvános kulcsát használják az aláírás ellenőrzésére.

Ha az aláírás nem ellenőrizhető, az azt jelenti, hogy a rekord adatai megváltoztak, és ez a rekord érvénytelen.

Így azonban továbbra is fennáll a kérdés: hogyan lehet ellenőrizni, hogy maga a nyilvános kulcs nem került-e kompromittálásra? Itt jönnek a képbe a DS rekordok.

3. DS rekord

A DS Record a Delegation Signer rövidítése. Ez egy olyan rekord, amely felhatalmazást delegál egy tartományra. A DNS-hierarchiában zónáknak nevezett közigazgatási egységek vannak. A zónáknak lehetnek szülei vagy gyermekei. A szülő zónák tekintélyesnek, azaz megbízhatónak tekinthetők, és az általuk szolgáltatott információk megbízhatóak.

A szülői zónák átruházhatják hatáskörüket a gyermek zónákra. Ezt a DS rekordok segítségével tehetik meg. A DS rekordok a DNSKEY rekordban tárolt kulcs kivonatát tartalmazzák.

Ha a DNSKEY rekord értékének hash-ja megegyezik a DS rekordban lévő hash-val, akkor a kulcs érvényes. Ez az ellenőrzés minden szinten megtörténik, azaz egy zóna szülője, annak szülője szülője és így tovább.

4. SPF, DKIM és DMARC rekordok

A TXT rekordoknak számos szerepe van a biztonságban. A biztonsággal kapcsolatos TXT rekordokat SPF-nek, DKIM-nek és DMARC-nek nevezik. Ezek az Ön tartományához kapcsolódó e-mailek biztonságával kapcsolatosak. Ezek beállításával megvédheti e-mail feladója hírnevét, és javíthatja webhelye e-mail kézbesíthetőségét.

E rekordok szerepe összefügg. Kezdjük az SPF rekordokkal.

5. SPF rekordok

Az SPF a Sender Policy Framework rövidítése. Az SPF rekordok felsorolják, hogy mely levelezőszerverek jogosultak e-maileket küldeni egy tartomány nevében. Mielőtt az SPF rekordok léteztek volna, bárki küldhetett e-mailt, és azt állította, hogy az egy adott tartománytól származik. Ez problémát jelentett a csalók számára, akik az ilyen e-maileket adathalászatra, rosszindulatú átirányításokra, sőt, még a social engineeringre is felhasználhatták.

6. DKIM rekordok

A DKIM a Domain Keys Identified Mail rövidítése. Ez is egyfajta szöveges rekord. A DKIM rekordok az SPF rekordok által hagyott egyik sebezhetőséget fedezik. Ez az e-mail címek meghamisításának lehetősége.

A DKIM rekordok szintén kriptográfiát használnak annak biztosítására, hogy az e-mail a megfelelő forrásból származik. A DKIM két részből áll: a DNS-bejegyzésekben elérhető nyilvános kulcsból és a DKIM-fejlécből, amely a magánkulccsal aláírt e-mailben található. Az e-mailt fogadó klienseknek ellenőrizniük kell, hogy a DKIM fejléc kulcsa és a rekordkulcsok ugyanannak a párnak a részei-e vagy sem. Ha igen, akkor az e-mail a megfelelő forrásból származik, ha nem, akkor az e-mailt elutasítják.

7. DMARC rekordok

A DKIM és az SPF az e-mailek forrásának ellenőrzésére és a hamisítás csökkentésére szolgál. A DMARC arra szolgál, hogy megmondja az e-mail címzettjének, mit tegyen, ha olyan e-maileket kap, amelyek nem felelnek meg a fent említett ellenőrzéseknek.

A DMARC a Domain-Based Message Authentication Reporting and Conformance (tartományalapú üzenethitelesítési jelentés és megfelelőség) rövidítése.

A DMARC rekordok alapvetően arra utasítják az e-mail címzettet, hogy a következő műveletek közül egyet vagy többet tegyen meg, ha egy e-mail nem felel meg az SPF és DKIM ellenőrzéseknek.

• Jelölje meg az e-mailt spamként.
• Engedje át a spam leveleket
• A spam levelek elutasítása

Ezen túlmenően a domainnek is jelentést tesznek, amelynek e-mailjei nem felelnek meg az SPF- és DKIM-ellenőrzésnek. Ez segít a domain-tulajdonosoknak ellenőrizni, hogy a domainjükkel vannak-e problémák, és gyorsan intézkedni tudnak a feladói hírnevük megőrzése érdekében.

DMARC rekordok nélkül az e-mail szolgáltatók saját maguk döntenek az e-mailek elutasításáról vagy elfogadásáról. Ez furcsa következményekkel járhat a domainje hírnevére (és ezáltal a webhelye hírnevére is). Jobb tehát, ha van kontroll a dolog felett.

Következtetés

Most már látja, hogy a DNS-rekordok létfontosságúak a weboldal működéséhez és biztonságához. A DNS-rekordok nélkül lehetetlen megtalálni a webhelyeket. A DNS felelős a portok meghatározásáért is a webhely egyes szolgáltatásaihoz (például az e-mail és a VoIP).

A DNS biztonsági rekordokkal megakadályozhatja, hogy mások visszaéljenek webhelye képmásával, és ezzel kárt okozzanak. Azt is biztosítja, hogy weboldalának e-mail feladói hírneve megmaradjon, ami azt eredményezi, hogy több e-mail kerül a fogyasztók postaládájába.