Extensiile de securitate ale sistemului de nume de domeniu
dnssec este un set de standarde în domeniul Internetcare oferă o garanție a mecanismelor de securitate. Acestea sunt, de asemenea, supuse autenticității și integrității Date. Un participant la dnssec poate verifica anumite date despre zonă. Aceasta poate verifica, de asemenea, dacă datele din zona DNS sunt identice cu cele pe care un creator este autorizat de zonă.
Nu există criptare a datelor
Dnssec a fost dezvoltat pentru a combate otrăvirea cache-ului. Semnăturile digitale sunt securizate în timpul transferului de înregistrări de resurse. Autentificarea nu are loc niciodată la servere sau la clienți. Cu dnssec nu se criptează datele. Criptosistemul asimetric. Proprietarul unei anumite informații se numește server principal. Există, de asemenea, zona care trebuie securizată. Fiecare înregistrare este semnată cu o cheie privată. Autenticitatea și integritatea pot fi validate cu ajutorul unei chei publice. Extensia EDNS este preferată de dnssec. Cu această extensie pot fi utilizați parametri suplimentari. Restricția de dimensiune de 512 octeți este, de asemenea, eliminată cu această extensie. Mesajele DNS mai lungi sunt necesare în cazul în care trebuie transmisă o cheie sau o semnătură.
Cum funcționează DNS?
În RR, adică Resource Record, informațiile sunt puse la dispoziție la dnssec. Acestea asigură autenticitatea informațiilor cu ajutorul unei semnături digitale. Serverul principal situat în zonă este proprietarul acestor informații. Aceasta este, de asemenea, autoritară. Pentru fiecare zonă care trebuie securizată, există o cheie de cântărire a zonei, adică o cheie de zonă. Perechea este formată din chei publice și private. Partea publică a cheii de zonă este inclusă în fișierul de zonă sub forma unei înregistrări de resurse DNSKEY. Cheia privată garantează că fiecare RR individual este semnat digital în zonă. În acest scop, se completează o fișă de resurse, care este apoi fișa de resurse RRSIG. Aceasta conține semnătura pentru intrarea DNS.
La fiecare dintre aceste tranzacții, se trimite un RRSIG-RR împreună cu înregistrarea normală a resurselor. În cazul unui transfer în zonă, sclavii îl primesc primii. Aceasta este apoi stocată într-o memorie cache dacă rezoluția este bună. Ultimul care primește RR este revolverul care l-a solicitat. Cu ajutorul cheii publice de zonă, aceasta poate valida semnătura.
Evaluarea
Cu dnssec, rezolvatorii DNS sunt dispozitivele finale, cum ar fi un computer sau un smartphone, pe care înregistrările nu pot fi validate. Rezolvatoarele de stub sunt programe construite pur și simplu care pot rezolva complet un nume. De asemenea, într-un server de nume recursiv. Pentru a rezolva acest nume, serverul de nume trimite o cerere către un server de nume din rețeaua locală sau din rețeaua ISPfurnizori de servicii de internet pronunțate.
Este setat un bit DO, care poate informa rezolvatorul serverului de nume că înregistrarea urmează să fie validată. Pentru aceasta, stubresolverul trebuie să suporte extensia EDNS din dnssec. Astfel, serverul poate fi, de asemenea, confogurat. Acest lucru înseamnă că validarea poate fi efectuată oricând.
Acest lucru este independent de conținutul și de prezența bitului DO. Dacă serverul returnează o eroare generală, înseamnă că ceva nu a mers bine. În cazul în care a avut succes, serverul returnează un răspuns AD bit. AD înseamnă date autentificate. În cazul unui rezolvator de tip stub, este imposibil de spus dacă eroarea a fost declanșată de validarea eșuată sau are o altă cauză. Cauzele pot fi o defecțiune a rețelei sau o defecțiune a serverului de nume în numele de domeniu solicitat.