• Najlepší postup pre infraštruktúru a bezpečnosť webových stránok

Pochopenie úlohy záznamov DNS vo funkčnosti a zabezpečení webových stránok

  • Felix Rose-Collins
  • 8 min read
Pochopenie úlohy záznamov DNS vo funkčnosti a zabezpečení webových stránok

Úvod

DNS je skratka pre Domain Name System (systém názvov domén). Je to základná technológia, vďaka ktorej internet funguje tak, ako funguje. Jeho najzákladnejšia definícia znie: "DNS je zodpovedný za preklad IP adries webových stránok na ich názvy domén."

V skutočnosti dokáže systém DNS oveľa viac. Funkcie DNS sa vykonávajú pomocou záznamov DNS. Záznamy DNS sú textové súbory, ktoré obsahujú základné informácie dôležité pre fungovanie DNS.

Tento článok poukazuje na dôležitosť záznamov DNS pre fungovanie a bezpečnosť webových stránok. Za týmto účelom sa pozrieme na rôzne typy záznamov DNS a vysvetlíme, čo robia v súvislosti s funkciou alebo bezpečnosťou webových stránok.

Na konci tohto článku získate lepší prehľad o systéme názvov domén.

Understanding the Role of DNS Records in Website Functionality and Security

Ako funguje systém DNS?

Na pochopenie záznamov DNS a ich úlohy pri fungovaní a zabezpečení webových stránok je potrebné mať určité znalosti o systéme názvov domén (DNS).

Všetko sa teda začína v počítači. Váš počítač, ktorý hľadá webovú stránku, sa nazýva klient. Klient sa so svojou požiadavkou obráti na server známy ako DNS resolver. DNS resolver je server pridelený poskytovateľom internetových služieb alebo si môžete nastaviť vlastný v nastaveniach operačného systému. Úlohou resolvera je vybavovať všetky požiadavky DNS zadané klientom.

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Takže. Klient požiada resolver: "Hej, chcem nájsť tento názov domény (xyz.com). Poznáte jej IP adresu?" Riešiteľ skontroluje svoju vyrovnávaciu pamäť, či má uložený názov domény a jej IP. Ak nie, kontaktuje niekoľko serverov v hierarchii DNS, aby zistil, či majú IP adresu.

Obrázok hierarchie DNS

DNS Hierarchy Image

Zdroj obrázkov: https://www.menandmice.com/glossary/dns-server-types

IP adresa sa zvyčajne nájde pomerne rýchlo. Niekedy však musí resolver prejsť až na vrchol hierarchie a opýtať sa na servery známe ako koreňové menné servery (NS).

Na svete existuje 13 koreňových menných serverov, ktoré obsahujú IP adresy všetkých webových lokalít na webe. Ak IP adresa pre doménu neexistuje na menných serveroch, znamená to, že dotaz DNS pre túto doménu je "neriešiteľný".

Po nájdení IP adresy ju resolver pošle späť klientovi. Klient potom zadá požiadavku na server na danej IP adrese a server odpovie požadovanou webovou stránkou.

Takto funguje jednoduchý dotaz, ktorý sa uskutoční v priebehu niekoľkých sekúnd. Ako do toho vstupujú záznamy DNS? Informácie uložené na všetkých serveroch v hierarchii DNS sú uložené vo forme záznamov DNS.

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Záznamy DNS môže správca webu spravovať pomocou populárnych nástrojov, ako sú cPanel, Cloudflare, GoDaddy atď. Ak sa chcete dozvedieť, ako môžete spravovať svoje webové stránky pomocou takýchto nástrojov, prečítajte si náš článok o cPanel. Vytvorenie podrobnej dokumentácie o správe záznamov DNS môže byť časovo náročné. Generátor odsekov s umelou inteligenciou môže pomôcť efektívne vytvárať vysokokvalitný, informatívny obsah, ktorý uľahčí zrozumiteľné vysvetlenie zložitých konceptov.

Teraz sa pozrieme, ako záznamy DNS pomáhajú a prispievajú k funkčnosti webových stránok.

Rôzne záznamy DNS a ich prínos k funkčnosti webových stránok

Začneme kontrolou záznamov, ktoré zohrávajú úlohu vo funkcii webovej stránky. Tých je v porovnaní so záznamami o zabezpečení viac.

Všetky záznamy DNS majú rovnakú šablónu. Zľava doprava je názov domény, čas do konca platnosti, trieda záznamu, názov záznamu a hodnota záznamu. Väčšina záznamov sa líši len názvom a hodnotou. Nižšie je uvedený obrázok záznamu A.

dnschecker Zdroj obrázku: dnschecker

Na obrázku sú zobrazené štyri záznamy A pre Microsoft.com. Názov domény je "microsoft.com". TTL je 1290 sekúnd, IN (internet) je trieda, A je názov záznamu a čísla sú adresy IPv4, t. j. hodnoty.

Teraz, keď už vieme, ako vyzerá typický záznam DNS, pochopíme, čo robia a ako prispievajú k funkčnosti webových stránok.

1. Záznamy A/AAA

Záznamy A a AAAA označujú adresy IPv4 a IPv6. Ich jediným účelom je mapovať IP adresy na názov domény. Ide o najzákladnejšiu funkciu DNS, vďaka ktorej funguje internet.

Ako možno viete, IP adresa je číselné (IPv4) alebo hexadecimálne (IPv6) vyjadrenie polohy servera.

Všetok obsah na webe je uložený na mnohých serveroch na svete. Pri vyhľadávaní názvu domény kontroluje resolver DNS svoju vyrovnávaciu pamäť, či sa v nej nenachádzajú záznamy A alebo AAAA pre danú doménu.

Ak ich nenájde, požiada ostatné servery v hierarchii, aby zistil, či ich majú alebo nie. Keď sa príslušné záznamy A/AAAA nájdu, resolver ich uloží do vyrovnávacej pamäte, aby ich neskôr nemusel hľadať.

Teraz by ste už mali vedieť, akú úlohu zohrávajú záznamy A/AAAA pre funkciu webovej lokality. Bez týchto záznamov by nebolo možné nájsť webovú lokalitu. Konfigurácia záznamov A/AAAA webovej lokality je teda pre jej funkciu veľmi dôležitá.

2. Záznam CNAME

Záznamy CNAME nie sú tak dôležité ako záznamy A/AAAA, ale majú svoje jedinečné využitie. Záznam CNAME priraďuje jednu doménu k inej. Zjednodušene povedané, môžete zabezpečiť, aby sa všetky dotazy DNS pre jednu doménu automaticky odosielali na inú doménu.

Ak máte napríklad doménu s názvom "cars.com" a ďalšiu doménu s názvom "vehicles.com", môžete použiť záznam CNAME na alias "cars.com" na "vehicles.com".

Vždy, keď niekto zadá do adresného riadku prehliadača "cars.com", ocitne sa namiesto toho automaticky na stránke "vehicles.com". Je to preto, že dotaz DNS na "cars.com" bude splnený záznamom CNAME, ktorý odkazuje na záznam A/AAAA "vehicles.com".

To je užitočné pre webové stránky, ktoré majú viacero podobných domén. Vďaka záznamom CNAME bude koncový používateľ vždy presmerovaný na správnu lokalitu. Ak sa teda vaša doména volá "xyz.org", môžete vytvoriť záznamy CNAME pre "www.xyz.org", ktoré budú smerovať na "xyz.org".

3. MX záznam

MX je skratka pre záznamy o výmene pošty. Záznamy MX sú kľúčové pre funkcie elektronickej pošty na webových stránkach. Ich úlohou je v podstate definovať, ktoré poštové servery sa zaoberajú e-mailami domény.

Povedzme, že prevádzkujete internetový obchod. Je zrejmé, že máte e-mailovú adresu, na ktorej vás môžu zákazníci kontaktovať. Môžete mať aj samostatnú e-mailovú adresu pre potenciálnych obchodných partnerov.

Ak sú vaše záznamy MX správne nakonfigurované, nebudete mať žiadne problémy s prijímaním e-mailov. Akýkoľvek e-mail smerujúci na e-mailovú adresu vašej domény bude odoslaný na správny poštový server definovaný v zázname.

Bez záznamu MX by sa tieto e-maily stratili. Nedostali by ste ich, pretože by neboli odoslané na žiadny poštový server. Keď nedostávate e-maily, nemôžete na ne odpovedať. To vyvoláva dojem, že nekomunikujete, a zanecháva to zlý dojem na používateľov vašich webových stránok.

4. Záznam TXT

Záznamy TXT sú neštandardné záznamy, ktoré možno použiť na rôzne funkcie. Môžu sa používať na overovanie webových stránok poskytovateľmi služieb tretích strán, ako sú vyhľadávače, poštové servery, poskytovatelia API atď.

Záznam TXT nemá nastavenú hodnotu ako iné záznamy. Jeho hodnota môže byť akákoľvek. Pokiaľ neprekročíte limit znakov, môžete zadať akúkoľvek hodnotu.

Na overenie webových stránok poskytujú vyššie uvedení poskytovatelia služieb tretích strán súkromne nastavenú hodnotu, ktorú webmaster pridá do svojho záznamu TXT. Ak je táto hodnota rovnaká ako hodnota, ktorú poskytol poskytovateľ služieb tretej strany, znamená to, že ide o správnu webovú lokalitu a nie o podvodníka.

Existujú aj ďalšie spôsoby použitia záznamov TXT na zabezpečenie, ktoré si overíme v časti "Zabezpečenie".

5. Záznam NS

Zďaleka najdôležitejším typom záznamu je záznam NS. NS je skratka pre názov servera. Menné servery sú na vrchole hierarchie DNS. Obsahujú všetky doménové záznamy.

Záznamy NS obsahujú podrobné informácie o tom, ktoré menné servery obsahujú záznamy domény. Bez záznamu NS by resolvery a servery DNS nižšie v hierarchii nevedeli, na ktorý server sa majú obrátiť, aby získali informácie o konkrétnej doméne.

Ak teda záznamy NS nie sú prítomné, vašu webovú lokalitu v podstate nie je možné nájsť, čo ju robí nepoužiteľnou. Preto sa uistite, že vaše záznamy NS sú v poriadku.

6. Záznam SRV

SRV je skratka pre službu. Tieto záznamy definujú, ktoré internetové služby, ako napríklad VoIP, e-maily a správy, používajú ktoré porty.

Bez záznamu SRV bude konkrétna prevádzka pre konkrétne porty prerušená. Za normálnych okolností to pre väčšinu webových stránok nepredstavuje problém. Ak však používate internetové služby, ktoré využívajú VoIP, e-maily alebo okamžité správy, je potrebné správne nastaviť záznamy SRV.

7. Záznam PTR

Záznamy PTR sa používajú na spätné vyhľadávanie DNS. Skratka PTR znamená ukazovateľ a tento typ záznamu mapuje IP adresu na názov domény. Je to teda opak záznamu A/AAAA.

Záznamy PTR sú potrebné pre fungovanie webových stránok, pretože sa používajú na overovanie. Niekedy môžu webové stránky podvrhnúť názov svojej domény a odosielať požiadavky na server inej domény. Server môže pomocou záznamov PTR skontrolovať, či sa IP adresa podvodníka zhoduje s adresou skutočnej domény.

Ak sa zistí nezhoda, žiadosť sa zamietne.

Záznamy DNS, ktoré prispievajú k bezpečnosti

alt_text

Bezpečnosť webovej lokality je mimoriadne dôležitá. Viac sa o nej dozviete z jedného z našich ďalších článkov.

Nižšie sú uvedené záznamy, ktoré pomáhajú zabezpečiť vašu webovú lokalitu a zabrániť rôznym bezpečnostným rizikám, ako je spoofing a otrávenie vyrovnávacej pamäte.

1. Záznamy DNSSEC

DNSSEC je skratka pre zabezpečenie DNS. Ide o bezpečnostný protokol, ktorého cieľom je obmedziť nedostatky v systéme DNS. Systém DNS nebol navrhnutý s ohľadom na bezpečnosť. Bolo teda veľmi jednoduché použiť ho ako vektor útoku.

V rámci DNSSEC boli zavedené dva typy nových záznamov. Tieto záznamy pomáhajú zabezpečiť obsah iných záznamov a overiť zdroj, z ktorého pochádzajú.

DNSSEC funguje na základe kryptografie s verejným kľúčom. Záznamy DNS sa v podstate podpisujú kryptografickými kľúčmi, aby sa zabezpečilo, že s ich údajmi nebude možné manipulovať.

Podobné kľúče sa používajú na zabezpečenie toho, aby aj záznamy pochádzali zo správneho zdroja.

Pomáha to pri zabezpečení webovej lokality tým, že pomáha chrániť sa pred útokmi na otrávenie vyrovnávacej pamäte. Zlomyseľní aktéri môžu zmeniť záznamy DNS v medzipamäti resolvera a bez problémov presmerovať prevádzku z jednej webovej lokality na inú.

Pomocou DNSSEC môžete ochrániť návštevníkov, ktorí sa snažia dostať na vaše webové stránky, pred zlomyseľným presmerovaním a zachovať si dobrú povesť.

Pozrime sa, ako to implementujú záznamy DS a DNSKEY.

2. Záznam DNSKEY

Záznam DNSKEY obsahuje verejný kľúč. Tento verejný kľúč je párom k súkromnému kľúču zóny. Všetky záznamy DNS zóny sú podpísané súkromným kľúčom a verejný kľúč zo záznamu DNSKEY sa používa na overenie tohto podpisu.

Ak podpis nemožno overiť, znamená to, že údaje v zázname boli zmenené a tento záznam je neplatný.

Stále však zostáva otázka: ako môžete overiť, že samotný verejný kľúč nebol kompromitovaný? Tu prichádzajú na rad záznamy DS.

3. Záznam DS

Záznam DS je skratka pre Delegation Signer. Ide o záznam, ktorý deleguje právomoc na doménu. V hierarchii DNS existujú administratívne rozdelenia známe ako zóny. Zóny môžu mať rodičov alebo potomkov. Nadradené zóny sa považujú za autoritatívne, t. j. sú dôveryhodné a ich informácie sú dôveryhodné.

Nadradené zóny môžu delegovať svoje právomoci na podriadené zóny. Robia to pomocou záznamov DS. Záznamy DS obsahujú hash kľúča uloženého v zázname DNSKEY.

Pokiaľ sa hash hodnoty záznamu DNSKEY zhoduje s hashom v zázname DS, znamená to, že kľúč je platný. Toto overenie sa vykonáva na každej úrovni, t. j. na úrovni nadradenej zóny, nadradenej zóny a tak ďalej.

4. Záznamy SPF, DKIM a DMARC

Záznamy TXT zohrávajú v oblasti zabezpečenia veľa úloh. Záznamy TXT súvisiace so zabezpečením sa nazývajú SPF, DKIM a DMARC. Súvisia so zabezpečením e-mailov týkajúcich sa vašej domény. Ich nastavením môžete zabezpečiť povesť odosielateľa e-mailov a zlepšiť doručiteľnosť e-mailov na vašej webovej lokalite.

Úlohy týchto záznamov spolu súvisia. Začnime záznamami SPF.

5. Záznamy SPF

SPF je skratka pre Sender Policy Framework. Záznamy SPF uvádzajú, ktoré poštové servery sú oprávnené odosielať e-maily v mene domény. Pred zavedením záznamov SPF mohol ktokoľvek odoslať e-mail a tvrdiť, že pochádza z konkrétnej domény. To predstavovalo problém podvodníkov, ktorí takéto e-maily používali na phishing, škodlivé presmerovanie a dokonca aj sociálne inžinierstvo.

6. Záznamy DKIM

DKIM je skratka pre Domain Keys Identified Mail, teda doménové kľúče identifikovanej pošty. Ide tiež o typ textového záznamu. Záznamy DKIM pokrývajú jednu zraniteľnosť, ktorú zanechali záznamy SPF. Tou je možnosť podvrhnúť e-mailovú adresu.

Záznamy DKIM tiež používajú kryptografiu na zabezpečenie toho, že e-mail pochádza zo správneho zdroja. DKIM má dve časti: verejný kľúč dostupný v záznamoch DNS a hlavičku DKIM v e-maile podpísanú súkromným kľúčom. Klienti prijímajúci e-maily musia skontrolovať, či kľúč hlavičky DKIM a kľúče záznamov sú súčasťou toho istého páru alebo nie. Ak sú, potom e-mail pochádza zo správneho zdroja, ak nie sú, e-mail sa odmietne.

7. Záznamy DMARC

DKIM a SPF sa používajú na overenie zdroja e-mailu a obmedzenie falšovania. DMARC sa používa na informovanie príjemcu e-mailu, čo má robiť, keď dostane e-maily, ktoré nevyhovejú vyššie uvedeným kontrolám.

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

DMARC je skratka pre Domain-Based Message Authentication Reporting and Conformance (hlásenie a zhoda správ na báze domény).

Záznamy DMARC v podstate informujú príjemcu e-mailu, aby vykonal jednu alebo viacero z nasledujúcich akcií, ak e-mail nevyhovie kontrolám SPF a DKIM.

  • Označte e-mail ako spam.
  • Nechajte spamovú poštu prejsť
  • Odmietnutie nevyžiadanej pošty

Okrem toho tiež nahlasujú doménu, ktorej e-maily nevyhovujú kontrolám SPF a DKIM. To pomáha vlastníkom domén skontrolovať, či ich doména nemá nejaké problémy, a rýchlo prijať opatrenia na zachovanie reputácie odosielateľa.

Bez záznamov DMARC poskytovatelia e-mailových služieb sami rozhodujú o odmietnutí alebo prijatí e-mailov. To môže mať zvláštne dôsledky pre reputáciu vašej domény (a tým aj pre reputáciu vašej webovej stránky). Preto je lepšie mať nad tým kontrolu.

Záver

Teraz vidíte, ako sú záznamy DNS dôležité pre fungovanie a bezpečnosť webových stránok. Bez záznamov DNS nie je možné nájsť webové stránky. DNS je tiež zodpovedný za definovanie portov pre jednotlivé služby na webovej lokalite (napríklad e-mail a VoIP).

Pomocou bezpečnostných záznamov DNS zabránite ostatným, aby zneužili podobu vašej webovej lokality na účely poškodenia. Zabezpečíte tiež zachovanie reputácie odosielateľa e-mailov vašej webovej lokality, čo má za následok, že viac e-mailov nájde cestu do schránok spotrebiteľov.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Začnite používať Ranktracker... zadarmo!

Zistite, čo brzdí vaše webové stránky v hodnotení.

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Different views of Ranktracker app