DNSSEC - ce este și de ce această tehnologie este atât de important

Pagina este de asemenea disponibil în următoarele limbi:

Această pagină a fost arhivată.

H recent lo st în DNS au fost descoperite vulnerabilități care permit unui atacator să deturneze procesul de căutare numele persoanei sau un nod de pe Internet. Scopul atacului este de a prelua controlul sesiunii, de exemplu, pentru a direcționa utilizatorul către site-ul Web al atacatorului pentru a obține contul și parola.

Aceste vulnerabilități au condus la necesitatea de a introduce o tehnologie numită „Extensii de securitate DNS“ (DNS de securitate Extensii - DNSSEC). pentru a proteja această parte a infrastructurii de Internet.

Următoarele întrebări și răspunsuri sunt o încercare de a explica ce este de DNSSEC, și importanța introducerii acestei tehnologii.

1) În primul rând. Care este zona de rădăcină.

2) De ce este necesar să „semneze rădăcina“?

Recent a descoperit vulnerabilități în DNS și avansate progresele tehnologice au condus la faptul că reduce semnificativ timpul necesar pentru un atacator pentru a intercepta orice proces de căutare acțiune DNS, și, astfel, posibilitatea de control asupra sesiunii care, de exemplu, vă permite direcționarea utilizatorului pe web site-ul atacator pentru a obține contul și parola. Singura modalitate de a elimina vulnerabilitatea pe termen lung este prin desfășurarea de protocol numit extensii de securitate DNS de securitate, sau DNSSEC (DNS securitate extensii).

3) Ce este DNSSEC?

Nu face nimic. Cu toate acestea, ca pentru orice alt lanț, care depinde de puterea fiecărei verigi. dacă părăsiți zona de rădăcină nesemnate, acesta va fi un factor decisiv în vulnerabilitatea întregului proces. Unele link-uri pot fi de încredere, iar altele nu.

5) Cum consolida securitatea unui utilizator obișnuit.

Folosind tehnologia DNSSEC la fiecare etapă ajută să se asigure că utilizatorul final este conectat la acest site sau alt serviciu care corespunde unui nume de domeniu specific. Deși această tehnologie nu va rezolva toate problemele de securitate pe Internet. aceasta nu protejează o parte importantă a acesteia - căutare directorul - completarea altor tehnologii, cum ar fi SSL (https :). care protejează schimbul de informații și oferă o platformă pentru dezvoltarea în continuare, permițând securitate îmbunătățită.

6) Ce se întâmplă de fapt, atunci când un semn de rădăcină.

Prin tehnologia „semnătura rădăcină“ folosind DNSSEC adăugate mai multe intrări pentru fiecare domeniu de nivel superior în fișierul zona rădăcină. cheie adăugată și o semnătură care să confirme acuratețea cheii.

Dar ierarhie înseamnă că, chiar dacă este semnat cheia, a tehnologiei DNSSEC va fi folosit pentru toate numele de domenii care vor avea nevoie de timp, pentru că fiecare domeniu de mai jos poate fi semnat de către operatorii respectivi pentru a finaliza un lanț special. Semnarea rădăcină - acesta este doar începutul. Dar este necesar. Recent, operatorii TLD sunt forțați să lucreze la punerea în aplicare a DNSSEC în zonele lor (.se. Bg. Br. Cz. Pr, de asemenea, cu .gov. Marea Britanie. Ca și restul în viitor) și este de așteptat ca alți operatori vor urma exemplul în curând. 3

7) Cum gestionarea zonei de rădăcină fișier?

managementul rădăcină este împărțit între patru instituții:

i) ICANN, o organizație internațională non-profit care lucrează sub contract cu Departamentul de Comerț al SUA, servește ca „IANA“. IANA standuri pentru "camere Internet Assigned" (Internet Assigned Numbers Authority). ICANN primește informații de la operatorii de domeniu de nivel superior (top level domain - TLD) (de exemplu, "com").

ii) Telecomunicații și Informare (Telecomunicații Naționale și Informare Administrația Națională - NTIA), care face parte din Departamentul de Comerț al SUA. Aceasta permite să se schimbe rădăcină.

iv) Un grup internațional de operatori de server rădăcină care se execută în mod voluntar și dețin mai mult de 200 de servere din întreaga lume, pentru a disemina informații despre rădăcina rădăcina fișierului de pe zona de Internet. Mai jos operatorii de server rădăcină. Fiecare operator i se atribuie o literă.

A) servicii la nivel mondial registru VeriSign.

B) Institutul de Informatică de la Universitatea din California de Sud.

C) Compania Cogent Communications.

D) Universitatea din Maryland.

E) Centrul de Cercetare. Ames Națională Aeronautică și agențiile
iscledovaniyu spațiu de NASA.

F) Compania de Internet Systems Consortium Inc.

Centrul de Informare G) Rețeaua de Departamentul Apararii al SUA.

H) Laboratorul de Cercetare al Armatei SUA.

I) Autonomica și NORDUnet, Suedia.

A) servicii la nivel mondial registru VeriSign.

K) RIPE NCC, Olanda.

M) Proiectul WIDE, Japonia.

8) De ce este securitatea DNSSEC este important ca colectarea, editarea și transmiterea informațiilor implicate într-o singură organizație?

Odată cu creșterea încrederii în securitatea DNS care DNSSEC oferă tehnologia devine și mai importantă pentru încrederea oferită de ICANN și prin verificarea materialului de autentificare, încrederea TLD-ului marcat, suportă până
semnat până la fișierul zona de rădăcină.

9) Ce face KSK și ZSK în DNSSEC?

KSK (element cheie de semnare a) este o cheie cheie semnătură (cheia este utilizarea pe termen lung) și ZSK (Zona de semnare Key) este o zonă de semnătură cheie (cheie pe termen scurt). Cu suficient timp și informații, puteți negocia cheile de criptare. În cazul criptografiei asimetrice sau criptografia cu chei publice folosite în al DNSSEC, atacatorul trebuie să determine, prin forță brută sau alte metode, jumătate închis într-o pereche de chei publice-private utilizate pentru crearea semnăturii care confirmă autenticitatea-înregistrare DNS. Acest lucru îi va permite să ocolească DNSSEC de securitate. DNSSEC previne aceste tentative de hacking, folosind o cheie pe termen scurt - cheie de semnare a zonei (ZSK) - pentru a calcula în mod regulat semnăturile DNS-înregistrările și utilizarea cheie pe termen lung - cheia cheia de semnare (KSK) - pentru a calcula semnături ZSK, făcând posibilă verificarea. Tasta ZSK este schimbat de multe ori în mod frecvent, atacatorul a fost mai greu de a „ghici“ ea, în timp ce mai KSK este schimbat mult mai puțin frecvent (cel mai bun din toate - o dată pe an). Deoarece cheia KSK semnează cheia ZSK, care semnează DNS-intrare, pentru a verifica DNS-record în zona este necesar să se cunoască doar cheia KSK. Acest exemplu cheie KSK de înregistrare în formă de delegare Signer (DS), care este trecut deasupra zonei „părinte“. Zona părinte (de exemplu, rădăcină) semnează intrarea copilului DS (de exemplu, .org) cu cheia sa, ZSK, care este semnat de către cheia lui KSK. 5

Acest lucru înseamnă că, dacă DNSSEC este adoptat pe deplin cheia KSK pentru zona de rădăcină, atunci ea devine parte din lanțul de verificare pentru fiecare nume de domeniu de test DNSSEC (sau cererea dumneavoastră).

10) care gestionează cheile?

ICANN este responsabilă pentru conservarea infrastructurii de chei, dar în mod direct la crearea KSK este pus la dispoziția organizațiilor externe. Acesta este un element important al acceptării globale de ansamblu a acestui proces. ICANN nu oferă soluții concrete, care acordă dreptul de a crea o cheie, și consideră că acest lucru, precum și toate aspectele care fac obiectul dezbaterii publice, iar o decizie ar trebui să ia Departamentul de Comert al SUA.

1 Aceste organizații în sine DNS-operare reflectă adesea arhitectura generală a internetului, care merge dincolo de granițele geopolitice și organizaționale.

2 rădăcină Signed simplifică, de asemenea, implementarea la niveluri mai scăzute în DNS și, prin urmare, accelerează DNSSEC generală de implementare.

4 Vă permite să evitați întreruperile serviciilor.

5 Pentru cei care sunt familiarizați cu tehnicile de criptografie publice cheie, DNSSEC - o formă de PKI (Public Key Infrastructure - PKI).

O notă despre cookie-uri de urmărire:

Acest site folosește cookie-uri pentru a oferi o experiență eficientă utilizare și pentru a ne ajuta să vedem cum este utilizat site-ul. Dacă doriți să citiți mai multe despre utilizarea cookie-urilor, click aici

Acest anunț este destinat să apară numai prima dată când vizitați site-ul de pe orice computer. în regulă

Domain Name System