DNSSEC - l

DNSSEC (English Domain Name System Extensiile de securitate.) - un set de specificații IETF. furnizarea de informații de siguranță furnizate de instrumente DNS în IP-net. Acesta oferă DNS-clienți (rezolvere) autentificarea sau autentificarea informațiilor DNS despre faptul lipsei de date și integritatea datelor. Nu este asigurat disponibilitatea datelor și a solicitărilor de confidențialitate.

Securizarea DNS este esențială pentru securitatea pe Internet, în general. DNSSEC sa răspândit în mare măsură prevenite:

  1. Dezvoltare standard, compatibil in spate, care pot fi scalate la dimensiunea Internetului
  2. Utilizarea de implementări DNSSEC în număr mare de servere DNS și clienți
  3. Diferențele dintre jucătorii-cheie peste care trebuie să dețină domenii de nivel superior (.com. Net)
  4. Depășirea complexității prezumată și utilizarea DNSSEC

Cele mai multe dintre aceste probleme rezolvate comunitatea Internet tehnice.

Inițial, Domain Name System (DNS) nu a fost dezvoltat pentru scopuri de securitate, precum și pentru a crea un sisteme distribuite scalabile. De-a lungul timpului, sistemul DNS este din ce în ce mai vulnerabilă. Atacatorii pot redirecționa cu ușurință cereri de utilizator pentru numele simbolic în serverele coajă și, astfel, a avea acces la parolele, numere de card de credit și alte informații confidențiale. Utilizatorii înșiși nu pot face nimic despre ea, pentru că în cele mai multe cazuri, nu sunt nici măcar conștienți de faptul că cererea a fost înaintată. DNSSEC este o încercare de a asigura securitatea în timp ce compatibilitatea cu versiunile anterioare.

DNSSEC nu furnizează confidențialitatea datelor; în special, toate DNSSEC autentifică răspunsurile, dar nu criptate. DNSSEC nu protejează împotriva atacurilor DoS direct, deși, în unele moduri face în mod indirect. Alte standarde (nu DNSSEC) utilizat pentru a furniza cantități mari de date trimise între servere DNS.

specificație DNSSEC (DNSSEC-bis) descriu în detaliu protocolul DNSSEC curent. A se vedea. RFC 4033. RFC 4034 și RFC 4035.

IETF a implementat o schimbare fundamentală a DNSSEC, care se numește DNSSEC-bis (numele a fost dat pentru a distinge DNSSEC-bis al abordării în RFC 2535 DNSSEC). Noua versiune folosește principiul DS (Ing. Semnatar Delegația) pentru a furniza un nivel suplimentar de delegare indirectă în zonele de transport ale părintelui moștenitorului. Noua abordare prin schimbarea cheii publice de administrator de domeniu părinte este trimis la doar una sau două elemente în loc de șase moștenitor trimite o digest (amprentă digitală, hash), o nouă cheie deschisă părinte. Părintele stochează pur și simplu, identificatorul public-cheie pentru fiecare dintre moștenitori. Acest lucru înseamnă că, cantitate foarte mică de date vor fi trimise părinților și schimbul de cantități uriașe de date între succesorul și mamă. De asemenea, înseamnă că clienții vor trebui să efectueze pași suplimentari pentru a verifica cheia. Cele mai multe dintre inginerii implicați în dezvoltarea standardului, a declarat că a fost un preț mic pentru a plăti pentru o utilizare mai practică a DNSSEC.

Principiul de funcționare

DNSSEC - l

Verificarea autenticității datelor din DNSSEC

Protocolul DNSSEC de acțiune se bazează pe metoda răspunsurilor semnăturii digitale DNS la cererea de căutare, care asigură integritatea datelor a sistemului DNS. Pentru aceasta a fost creat câteva tipuri de înregistrări DNS, inclusiv RRSIG, DNSKEY, DS, și NSEC. Toate informațiile despre domeniu securizat (COM, NET, RU ...) în sistemul DNSSEC într-un anumit mod criptat, astfel încât acesta poate fi modificat numai cu cheia de criptare privată. În procesul de domeniu securizat cheie de delegare pereche este generată. Informații despre cheia este stocată pe primar DNS-server. Cheia privată utilizată pentru a semna zona după fiecare modificare. Cu DS-înregistrare (Engl. Designated Semnatar) cheie publică semnătură digitală stocată în zona de părinte. Aceeași cheie publică stocată în curs de înregistrare semnat DNSKEY (filială) zonă. Astfel lanț de încredere organizat. Cunoscând cheia publică a administratorului zonei părinte, puteți verifica validitatea cheii publice a oricăruia dintre zonele de copil.

Cu acces la fișierele din descrierea domeniului în serverul DNS primar sau secundar sau în timpul transmisiei de date între servere, atacatorul nu va fi în măsură să facă modificări, deoarece nu este proprietarul cheii private - toate modificările neautorizate aduse fișierului va fi respinsă ca invalid. Doar nicăieri va încerca un atacator pentru a trimite o cerere de actualizare dinamică a domeniului în numele unui alt sistem. furnizor de servere Caching (organizație) și sisteme personalizate (Resolvers) validează, de asemenea, modificările folosind cheia publică.

cerere

Internetul se bazează pe un nume fundamental vulnerabil domeniu de sistem DNS, și există un mare stimulent pentru îmbunătățirea siguranței acestuia. punerea în aplicare a DNSSEC foarte mult întârziată în timp, datorită faptului că necesită un număr de pași:

  1. Serverele DNS trebuie să sprijine DNSSEC
  2. TCP / IP trebuie să utilizeze un DNS resolver actualizat, capabil de a lucra cu DNSSEC
  3. Fiecare client trebuie să primească cel puțin o cheie publică de încredere până când începe să folosească DNSSEC

Semnătura zonei rădăcină

Pentru o validare completă a tuturor datelor prin intermediul DNSSEC peredavamyh, au nevoie de un lanț de încredere, care provine din zona de rădăcină (.) DNS. Punerea în aplicare a zonei de rădăcină semnat corect pe toate serverele DNS rădăcină ar putea provoca prăbușirea Internet moderne, astfel încât, împreună cu IETF ICANN a dezvoltat o procedură treptată de introducere a semnat zona de rădăcină și mecanismul cheie de distribuție. Procedura a durat mai mult de 8 luni și au inclus un pas cu pas introducerea la serverele DNS prima zona de rădăcină semnat nevalid semnătură digitală cheie. Acest pas a fost necesar pentru a oferi teste de sarcină de server, pentru a păstra compatibilitatea cu software-ul vechi și se lasă opțiunea de revenire la o configurație anterioară.

infrastructura-cheie

starea actuală

DNSSEC Software

Utilizarea DNSSEC necesită un software atât la nivel de server și pe partea de client.

notițe

documente RFC

  • RFC 2535 Domain Name System Extensiile de securitate
  • RFC 3833 O analiză a Amenințare Domain Name System
  • RFC 4033 Securitate DNS Introducere și Cerințe (DNSSEC-bis)
  • RFC 4034 Înregistrări de resurse pentru Securitate DNS Extensii (DNSSEC-bis)
  • RFC 4035 Protocol modificări pentru Securitate DNS Extensii (DNSSEC-bis)
  • RFC 4398 Certificate în Stocarea Domain Name System (DNS)
  • RFC 4641 DNSSEC Practici operaționale
  • RFC 5155 Securitate DNS (DNSSEC) trunchiată Autentificat negarea existenței

De bază protocoale TCP / IP pe straturi ale modelului OSI (Lista de TCP și UDP)

Vezi ce „DNSSEC“ în alte dicționare:

DNSSEC - TCP im / IP-Protokollstapel: Anwendung DNSSEC transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia

DNSSEC - Domain Name System Security Extensions (DNSSEC) reprezintă o suită de specificații IETF pentru asigurarea anumitor tipuri de informații furnizate de Domain Name System (DNS), așa cum este utilizat pe Internet Protocol (IP) rețele. Este un set de extensii pentru DNS ... Wikipedia

DNSSEC - Domain Name System Security Extensii DNSSEC ( «Domain Name System Security Extensii») est protocole onu standardisé par l IETF permettant de résoudre certains Problèmes de sécurité Minciunilor au protocole DNS. Les sont ... ... caietul de sarcini Wikipédia en Français

DNSSEC - Extensiile Domain Name System Security (zur Vermeidung von DNS spoofing, RFC2065) ... Acronime

DNSSEC - Extensiile Domain Name System Security (zur Vermeidung von DNS spoofing, RFC2065) ... acronime von A bis Z

Extensiile Domain Name System Security - DNSSEC TCP im / IP-Protokollstapel: Anwendung DNSSEC transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet ... Deutsch Wikipedia

Extensiile de securitate DNS - DNSSEC TCP im / IP-Protokollstapel: Anwendung DNSSEC transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia

Extensiile Domain Name System Security - DNSSEC ( «Domain Name System Security Extensii») est protocole onu standardisé par l IETF permettant de résoudre certains Problèmes de sécurité Minciunilor au protocole DNS. Les sont publiées dans caietul de sarcini la RFC 4033 et les suivantes ... ... Wikipédia en Français

Extensiile Domain Name System Security - Internet Protocol strat suita de aplicații BGP DHCP DNS FTP HTTP ... Wikipedia

Compararea a software-ului de server DNS - Cuprins 1 Servere 1.1 BIND 1.2 în comparație Microsoft DNS 1.3 Dn ... Wikipedia