DNSSEC
Z Wikipedii
DNSSEC (ang. DNS Security Extensions) to rozszerzenie systemu DNS mające na celu zwiększenie bezpieczeństwa DNS. DNSSEC zapewnia autoryzację źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych.
Serwery i klienci systemu DNS są pod opieką administracyjną. Ich bezpieczeństwo polega na zabezpieczeniu transmisji. Całą strukturę systemu DNS przed modyfikacją i sfałszowaniem zabezpiecza protokół DNSSEC, który umożliwia: integralność, sprawdzenie danych, definicję zabezpieczenia strefy, co zapewnia bezpieczeństwo całego systemu.
Dane w strefach pakowane są w paczki RRset, które zawierają rekordy rozpoznawane przez taką samą nazwę, klasę i typ. Podpisywanie paczek RRset a nie pojedynczych rekordów RR jest bardziej użyteczne, gdyż serwer nazw zwykle zwraca całą grupę rekordów w odpowiedzi na pytanie DNSowe. Podpisy tworzy się przy wykorzystaniu algorytmów MD5 i RSA lub algorytmów SHA-1 i DSA. Grupa rekordów jest zaszyfrowana prywatnym kluczem strefy. Użytkownik systemu może sprawdzić informacje za pomocą publicznego klucza strefy.
Protokół DNSsec wprowadza do systemu DNS rekordy, które zapewniają jego bezpieczeństwo:
- klucz publiczny, który sprawdza podpisy paczek RRset ,
- rekord NXT, który zapewnia spójność danych strefy i umożliwienie sprawdzenie informacji, czy istnieje rekord lub o niezabezpieczeniu,
- rekord SIG, który zawiera podpis paczki RRset,
- rekord DS, który wskazuje klucz podpisujący klucz strefy.
Protokół DNSsec wprowadza nowe bity nagłówka komunikatu systemu DNS:
- AD ─ dane autentyczne, bit ten informuje, że dane zostały sprawdzone,
- bit CD oznacza, że sprawdzanie jest wyłączone i informuje serwer, że nie sprawdzone dane będą zaakceptowane.
