...

Domeeninimede süsteemi turvarakendused

dnssec on standardite kogum, mis kuulub Internetmis tagavad turvamehhanismid. Ka nende puhul on autentsuse ja terviklikkuse tagamiseks vaja Andmed. dnssec'i osaleja saab kontrollida teatud tsooniandmeid. Sellega saab ka kontrollida, kas DNS-vööndi andmed on identsed sellega, mida looja on volitanud tsooni.

Andmete krüpteerimine puudub

dnssec töötati välja vahemälu mürgistuse vastu võitlemiseks. Digitaalallkirjad on turvatud ressursikirjete edastamise ajal. Autentimine ei toimu kunagi serverites ega klientides. dnssec puhul ei ole andmed krüpteeritud. Asümmeetriline krüptosüsteem. Teatava teabe omanikku nimetatakse peamiste serverite omanikuks. Seal asub ka kindlustatav tsoon. Iga üksik kirje on allkirjastatud privaatvõtmega ehk salajase võtmega. Autentsust ja terviklikkust saab kinnitada avaliku võtmega. dnssec eelistab laiendit EDNS. Selle laiendusega saab kasutada täiendavaid parameetreid. Selle laiendusega tühistatakse ka 512 baidi suuruse piirang. Pikemad DNS-sõnumid on vajalikud, kui tuleb edastada võti või allkiri.

Kuidas DNS töötab?

RR-is, st ressursikirjes, on teave kättesaadav aadressil dnssec. Need tagavad teabe autentsuse digitaalallkirjaga. Selle teabe omanik on tsoonis asuv master-server. See on samuti autoriteetne. Igale turvatavale tsoonile on olemas tsooni laulmise võti, st tsooni võti. Paar koosneb avalikest ja privaatsetest võtmetest. Tsooni võtme avalik osa on lisatud tsoonifaili DNSKEY ressursikirjena. Privaatne võti tagab, et iga üksik RR on tsoonis digitaalselt allkirjastatud. Selleks täidetakse ressursikirje, mis on siis RRSIGi ressursikirje. See sisaldab DNS-kande allkirja.
Iga sellise tehingu puhul saadetakse RRSIG-RR koos tavalise ressursikirjega. Kui tsoonis toimub ülekanne, saavad orjad selle esimesena. See salvestatakse vahemällu, kui resolutsioon on hea. Viimane, kes saab RR-i, on revolvri, kes seda taotles. Avaliku tsooni võtme abil saab see allkirja kinnitada.

Hindamine

dnssec puhul on DNS-resolverid lõppseadmed, näiteks arvuti või nutitelefon, mille kirjeid ei saa kinnitada. Tüviresolverid on lihtsalt ehitatud programmid, mis suudavad nime täielikult lahendada. Ka rekursiivses nimeserveris. Selle nime lahendamiseks saadab nimeserver päringu kohalikus võrgus asuvale nimeserverile või ka võrgu ISPhääldatud Interneti-teenuse pakkujad.

Seatakse DO-bitt, millega saab nimeserveri resolverile teatada, et kirje tuleb kinnitada. Kuid selleks peab stub-resolver toetama dnssec'i EDNS-laiendust. Sel viisil saab ka serverit konfigureerida. See tähendab, et valideerimine on alati võimalik.

See on sõltumatu DO-biti sisust ja olemasolust. Kui server tagastab üldise vea, on midagi valesti läinud. Kui see õnnestus, saadab server AD-bit vastuse. AD tähendab autenditud andmeid. Tüviresolveri puhul on võimatu öelda, kas viga on põhjustatud ebaõnnestunud valideerimisest või mõnest muust põhjusest. Põhjuseks võib olla võrgurike või nimeserveri rike taotletud domeeninimes.

Praegused artiklid