Was ist DNS -Sicherheit?
Die Sicherheitsverlängerungen (Domain Name System) (DNS) sind ein Mittel, um das Internet und seine Benutzer vor möglichen Angriffen zu schützen, die den Zugang zu den wesentlichen Namensdiensten im Internet deaktivieren oder behindern können. Die Sicherheitsverlängerungen erstellen die DNS -Server eine Möglichkeit, ihre Übersetzungsfunktionen für Internet -Protokoll (IP) weiterhin bereitzustellen. Mit der zusätzlichen Bestimmung, dass die DNS -Server miteinander authentifizieren, indem sie eine Reihe von Vertrauensbeziehungen erstellen. Durch die Erweiterungen erreicht die von den DNS -Servern geteilten Daten auch ein Maß an Integrität, das normalerweise für das vorhandene Protokoll schwierig ist, durch das die Daten übertragen werden. Mit zunehmendem Internet wuchs jedoch eine Reihe von Problemen im Zusammenhang mit der DNS -Sicherheit, der Privatsphäre und der Integrität der DNS -Daten. In Bezug auf Datenschutzfragen wurde das Problem frühzeitig von ordnungsgemäßem C behandelt C.Onfiguration von DNS -Servern. Es ist jedoch möglich, dass ein DNS -Server einer Reihe verschiedener Arten von Angriffen unterzogen wird, wie z. Spezifisch für den DNS ist jedoch die Frage einiger externer Quellen, die die Daten vergiften, indem falsche Informationen eingeführt werden.
DNSSEC wurde von der Internet Engineering Task Force (IETF) entwickelt und in mehreren Anforderungen für Kommentare (RFC), 4033 bis 4035, beschrieben. Diese Dokumente beschreiben DNS -Sicherheit als erreichbar durch die Verwendung von Authentifizierungstechniken der öffentlichen Schlüssel. Um die Verarbeitung auf den DNS -Servern zu lindern, werden nur die Authentifizierungstechniken verwendet und nicht die Verschlüsselung.
wie dnssec funktioniert durch die Schaffung von Vertrauensbeziehungen zwischen den verschiedenen Ebenen der DNS -Hierarchie. Auf der oberen Ebene ist die Wurzeldomäne des DNS ESTABlutzig als primärer Vermittler zwischen den unteren Domänen wie .com, .org usw. Subdomänen schauen dann in die Wurzeldomäne, die als sogenannte vertrauenswürdige Dritte dienen, um die Glaubwürdigkeit der anderen zu validieren, damit sie genaue DNS-Daten miteinander teilen können.
Ein Problem, das aufgrund der im RFCs beschriebenen Methoden auftaucht, wird als Zonenaufzählung bezeichnet. Es wird möglich, dass eine externe Quelle die Identität jedes benannten Computers in einem Netzwerk lernt. Einige Kontroversen entwickelten sich mit DNS -Sicherheit und dem Problem der Zone Aufzählung, da der DNS ursprünglich nicht für die Privatsphäre konzipiert wurde, verschiedene rechtliche und staatliche Verpflichtungen erfordern, dass die Daten privat bleiben. Ein zusätzliches Protokoll, das in RFC 5155 beschrieben wird
Andere Probleme bei der Implementierung der DNS -Sicherheit drehen sich um Kompatibility mit älteren Systemen. Die implementierten Protokolle müssen universell sein und daher von allen Computern, Servern und Clients gleichermaßen verstanden werden, die das Internet verwenden. Da DNSSEC durch Software -Erweiterungen zum DNS implementiert wird, entstand jedoch einige Schwierigkeiten, ältere Systeme ordnungsgemäß aktualisiert zu werden, um die neuen Methoden zu unterstützen. Die Bereitstellung der DNSSEC -Methoden begann jedoch Ende 2009 und Anfang 2010 auf der Stammebene, und viele moderne Computerbetriebssysteme sind mit den DNS -Sicherheitsverlängerungen ausgestattet.