...

Udvidelser af domænenavnesystemets sikkerhed

dnssec er et sæt standarder i den Internetsom giver en garanti for sikkerhedsmekanismer. Disse er også underlagt ægtheden og integriteten af de Data. En deltager i dnssec kan verificere visse zonedata. Dette kan også kontrollere, om DNS-zonedataene er identiske med de data, som en opretter er godkendt af zonen.

Ingen kryptering af dataene

dnssec blev udviklet for at bekæmpe cacheforgiftning. Digitale signaturer er sikret under transmissionen af ressourceposter. Autentificering finder aldrig sted på serverne eller på klienterne. Med dnssec krypteres der ingen data. Det asymmetriske kryptosystem. Ejeren af en bestemt oplysning kaldes master-serveren. Den zone, der skal sikres, er også placeret der. Hver enkelt post er signeret med en privat nøgle eller en hemmelig nøgle. Autenticitet og integritet kan valideres med en offentlig nøgle. Udvidelsen EDNS foretrækkes af dnssec. Der kan anvendes yderligere parametre med denne udvidelse. Størrelsesbegrænsningen på 512 bytes er også ophævet med denne udvidelse. Der er behov for længere DNS-meddelelser, hvis der skal overføres en nøgle eller en signatur.

Hvordan fungerer DNS?

I RR, dvs. Resource Record, stilles oplysninger til rådighed på dnssec. Disse sikrer oplysningernes autenticitet med en digital signatur. Master-serveren i zonen er ejer af disse oplysninger. Dette er også autoritativt. For hver zone, der skal sikres, findes der en zoneafgrænsningsnøgle, dvs. en zonenøgle. Parret består af en offentlig og en privat nøgle. Den offentlige del af zonens nøgle er inkluderet i zonefilen som en DNSKEY-ressourcepost. Den private nøgle sikrer, at hver enkelt RR er digitalt signeret i zonen. Til dette formål udfyldes en ressourcepost, som derefter er en RRSIG-ressourcepost. Denne indeholder signaturen for DNS-posten.
Ved hver af disse transaktioner sendes en RRSIG-RR sammen med den normale ressourcepost. I tilfælde af en overførsel i zonen modtager slaverne den først. Dette lagres derefter i en cache, hvis opløsningen er god. Den sidste, der modtager RR, er den revolver, der anmodede om den. Med den offentlige zonenøgle kan denne validere signaturen.

Evalueringen

Med dnssec er DNS-resolverne de endenheder, f.eks. en computer eller smartphone, som posterne ikke kan valideres på. Stub-resolvere er simpelthen programmer, der kan løse et navn fuldstændigt op. Også i en rekursiv navneserver. For at opløse dette navn sender navneserveren en anmodning til en navneserver i det lokale netværk eller også i netværket for den ISPudtalte internetudbydere.

Der sættes en DO-bit, som kan informere navneserverens resolver om, at posten skal valideres. Stub-resolveren skal dog understøtte EDNS-udvidelsen af dnssec for at kunne gøre dette. På denne måde kan serveren også sikres. Det betyder, at valideringen altid kan gennemføres.

Dette er uafhængigt af indholdet og tilstedeværelsen af DO-bitten. Hvis serveren returnerer en generel fejl, er der noget galt. Hvis det lykkedes, returnerer serveren et AD bit-svar. AD betyder autentificerede data. For en stub resolver er det umuligt at se, om fejlen skyldes den fejlslagne validering eller en anden årsag. Årsagerne kan være en netværksfejl eller en fejl i navneserveren i det ønskede domænenavn.

Aktuelle artikler