DNSSEC - това
DNSSEC (английски Domain Name System Security Extensions.) - набор от IETF спецификации. предоставяне на информация за безопасност, предоставени от DNS инструменти в IP-мрежата. Тя предоставя DNS-клиенти (резолверите) удостоверяване или удостоверяване на DNS информация за факта на липсата на данни и неприкосновеността на данните. Не е осигурено наличието на данни и на исканията за поверителност.
Осигуряване DNS е от решаващо значение за сигурността на интернет като цяло. DNSSEC разпространява до голяма степен предотвратено:
- Развитие обратно съвместим стандарт, който може да се мащабира до размера на Интернет
- Използването на DNSSEC внедрявания в голям брой DNS сървъри и клиенти
- Различията между ключовите играчи за това кой трябва да притежават домейни от първо ниво (.com. Net)
- Преодоляване на предполагаемата сложност и използването на DNSSEC
Повечето от тези проблеми, решени технически Интернет общност.
Първоначално системата за имена на домейни (DNS), не беше разработен за целите на сигурността, както и за създаване на мащабируеми разпределени системи. С течение на времето, системата на DNS е все по-уязвими. Нападателите могат лесно пренасочване на потребителски заявки за символичното име в сървърите на черупки и по този начин да получат достъп до вашите пароли, номера на кредитни карти и друга поверителна информация. Потребителите сами не могат да направят нищо за него, тъй като в повечето случаи дори не са наясно, че искането е препратено. DNSSEC е опит да се гарантира сигурността по време обратна съвместимост.
DNSSEC не осигурява поверителността на личните данни; по-специално, всички DNSSEC удостоверяване отговорите, но не и криптирана. DNSSEC не защитава срещу DoS атаки директно, въпреки че в някои отношения го прави индиректно. Други стандарти (не DNSSEC), използвани за предоставяне на големи обеми от данни, обменяни между DNS сървъри.
DNSSEC спецификация (DNSSEC-бис) описват подробно настоящия протокол DNSSEC. Вижте. RFC 4033. RFC 4034 и RFC 4035.
IETF изпълнява основна промяна на DNSSEC, което се нарича DNSSEC-бис (името е дадено за разграничаване DNSSEC-бис на първоначалния подход в RFC 2535 DNSSEC). Новата версия използва принципа на DS (инж. Делегация господин), за да се осигури допълнително ниво на непряк делегация в предаване на зоните на родителя да наследник на. Новият подход, като промените администратор публичния ключ на родителски домейн се изпраща само една или две позиции, вместо шест наследник изпраща обобщен (пръстови отпечатъци, хашиш), нов ключ отворен родител. Родителят просто съхранява публичен ключ идентификатор за всеки един от наследниците. Това означава, че много малко количество данни ще бъдат изпратени до родителите и обмен на огромни количества данни между наследник и майка. Това също така означава, че потребителите ще трябва да извърши допълнителни стъпки за проверка на ключа. Повечето от инженери, участващи в разработването на стандарта, каза, че това е малка цена за по-практично използване на DNSSEC.
принцип на работа
Проверка на автентичността на данните в DNSSEC
Протоколът DNSSEC на действие се основава на метода на цифров подпис DNS отговори на искането за справка, което гарантира целостта на данните на системата за DNS. За това той е създаден на няколко вида DNS записи, включително RRSIG, DNSKEY, DS и NSEC. Цялата информация за защитената област (COM, NET, RU ...) в системата DNSSEC по определен начин криптирана, така че може да се променя само с клавиша частния криптиране. В процеса на двойката ключ делегация на защитен домейн се генерира. Информация за ключ се съхранява на първичния DNS-сървъра. Частният ключ се използва за подписване на зоната след всяка промяна. С DS-запис (Англ. Определени синьор) цифров подпис публичен ключ се съхранява в зоната родител. Същият публичния ключ се съхранява в подписване на запис (дъщерно дружество) зона DNSKEY. Така организирана верига на доверие. Познаването на публичния ключ на администратора на родителска зона, можете да проверите валидността на публичния ключ на някое от детските зони.
С достъп до файлове от описанието на домейн в първичния или вторичния DNS сървър или по време на предаване на данни между сървърите, нападателят няма да може да се направят промени, тъй като не е собственик на частния ключ - всички неупълномощени промени във файла, ще бъдат отхвърлени като невалидни. Просто никъде ще се опита на нападателя да изпрати искане динамична актуализация на домейна, от името на друга система. доставчик на кеширане на сървъра (организация) и потребителски системи (резолверите) също потвърждават промените, използвайки публичния ключ.
приложение
В интернет се основава на коренно уязвими име на домейн система DNS, и там е голям стимул за подобряване на неговата безопасност. изпълнение DNSSEC значително закъснение във времето се дължи на факта, че се нуждае от няколко стъпки:
- DNS сървъри трябва да подкрепят DNSSEC
- TCP / IP, трябва да използвате актуализирана DNS резолвера, могат да работят с DNSSEC
- Всеки клиент трябва да получи най-малко едно голямо доверие публичен ключ, докато започне да се използва DNSSEC
Подпис на кореновата зона
За пълно валидиране на всички данни, с помощта на DNSSEC peredavamyh, се нуждаят от верига на доверие, който идва от зоната на корените (.) DNS. Изпълнение на подписан кореновата зона правилно на всички корен DNS сървъри може да доведе до разпадането на съвременния интернет, така че заедно с IETF ICANN се е развила постепенно процедура на въвеждане подписан корен зона и ключов механизъм разпределение. Процедурата е продължила повече от 8 месеца и включва стъпка по стъпка въведение към DNS сървърите на първия корен зона подписани ключ за електронен подпис. Тази стъпка е необходима, за да се осигури тестване на натоварването на сървъра, за да се запази обратната съвместимост със стария софтуер и оставят възможност за връщане към предишната конфигурация.
ключова инфраструктура
текущото състояние
Софтуер DNSSEC
Използването на DNSSEC изисква софтуер, както на сървъра и от страна на клиента.
бележки
RFC документи
- RFC 2535 Domain Name System Security Extensions
- RFC 3833 Заплаха Анализ на системата за имена на домейни
- RFC 4033 DNS сигурност Въведение и изисквания (DNSSEC-бис)
- RFC 4034 Resource Records за DNS Security Extensions (DNSSEC-бис)
- RFC 4035 Protocol Модификации за DNS Security Extensions (DNSSEC-бис)
- RFC 4398 Съхраняване на сертификати в системата за имена на домейни (DNS)
- RFC 4641 DNSSEC оперативни практики
- RFC 5155 DNS сигурност (DNSSEC) хеширана Authenticated Отказът на съществуване
Основни TCP / IP протоколи за слоевете на модела OSI (Списък на TCP и UDP портове)
Вижте какво "DNSSEC" в други речници:
DNSSEC - Им TCP / IP-Protokollstapel: Anwendung DNSSEC Транспорт UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia
DNSSEC - система за имена на домейни разширения сигурност (DNSSEC) са набор от IETF спецификации за осигуряване на определени видове информация, предоставена от системата за имена на домейни (DNS), както се използва по интернет протокол (IP) мрежи. Това е набор от разширения на DNS ... Wikipedia
DNSSEC - Domain Name System Security Extensions DNSSEC ( «Domain Name System Security Extensions») EST ООН ПРОТОКОЛ standardisé ал л IETF permettant де résoudre точно определени problèmes де sécurité лъжи о ПРОТОКОЛ DNS. Les спецификации Sont ... ... Уикипедия на френски
DNSSEC - разширения Domain Name System Security (цур Vermeidung фон DNS спуфинг RFC2065) ... Съкращения
DNSSEC - разширения Domain Name System Security (цур Vermeidung фон DNS спуфинг RFC2065) ... Съкращения фон бис Z
Разширения Domain Name System Security - DNSSEC им TCP / IP-Protokollstapel: Anwendung DNSSEC Транспорт UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet ... Deutsch Wikipedia
Разширения DNS сигурност - DNSSEC им TCP / IP-Protokollstapel: Anwendung DNSSEC Транспорт UDP TCP Internet IP (IPv4, IPv6) Netzzugang ... Deutsch Wikipedia
Разширения Domain Name System Security - DNSSEC ( «Domain Name System Security Extensions») EST ООН ПРОТОКОЛ standardisé ал л IETF permettant де résoudre точно определени problèmes де sécurité лъжи о ПРОТОКОЛ DNS. Les спецификации Sont publiées ДАНС ла RFC 4033 et ле suivantes ... ... Уикипедия на френски
Разширения Domain Name System Security - интернет протокол апартамент Application слой BGP DHCP DNS FTP HTTP ... Wikipedia
Сравнение на софтуер DNS сървър - Съдържание 1 Сървъри сравнение 1.1 BIND 1.2 Microsoft DNS 1.3 Dn ... Wikipedia