DNSセキュリティとは何ですか?

ドメイン名システム(DNS)セキュリティ拡張機能(DNSSEC)は、インターネット上の必須命名サービスを無効にしたりアクセスしたりする可能性のある攻撃からインターネットとそのユーザーを保護する手段です。 セキュリティ拡張機能は、DNSサーバーがインターネットプロトコル(IP)アドレス変換関数を引き続き提供し続ける方法を作成しますが、DNSサーバーが一連の信頼関係を作成することにより互いに認証されるという追加の規定が追加されています。 拡張機能を通じて、DNSサーバー間で共有されるデータは、通常、データが転送される既存のプロトコルに対して困難なレベルの整合性を達成します。 しかし、インターネットが成長するにつれて、DNSのセキュリティ、プライバシー、およびDNSデータの整合性に関連する多くの問題が発生しました。 プライバシーの問題に関して、問題は適切なcによって早期に処理されましたDNSサーバーの設定。 それでも、DNSサーバーに、分散型サービス拒否(DDO)やバッファオーバーフロー攻撃など、あらゆるタイプのサーバーに影響を与える可能性のあるバッファーオーバーフロー攻撃など、さまざまな種類の攻撃を受ける可能性があります。 ただし、DNSに固有のものは、誤った情報を導入してデータを中毒する外部ソースの問題です。

DNSSECは、インターネットエンジニアリングタスクフォース(IETF)によって開発され、コメントのいくつかのリクエスト(RFC)ドキュメント、4033〜4035で詳述されています。これらのドキュメントは、公開キー認証手法の使用を通じてDNSセキュリティを達成できると説明しています。 DNSサーバーでの処理を緩和するために、暗号化ではなく、認証手法のみが使用されます。

DNSSECの仕組みは、DNS階層のさまざまな層間の信頼関係の作成によるものです。 上位レベルでは、DNSのルートドメインはESTAです.com、.orgなどの下位ドメインの間の主要な中間として施されたもの。 その後、サブドメインはルートドメインに目を向け、信頼できるサードパーティと呼ばれるものとして機能し、正確なDNSデータを互いに共有できるように他の人の信頼性を検証します。

RFCSで説明されている方法の結果としてポップアップする1つの問題は、ゾーン列挙と呼ばれます。 外部のソースがネットワーク上のすべての名前付きコンピューターのIDを学習できるようになります。 DNSがプライバシーのために元々設計されていなかったとしても、さまざまな法的および政府の義務がデータがプライベートであることを要求するという事実により、DNSセキュリティとゾーン列挙の問題でいくつかの論争が発生しました。 RFC 5155で説明されている追加のプロトコルは、問題を完全に削除しないであろうDNSに追加のリソースレコードを実装する手段を説明しています。

DNSセキュリティの実装に関する他の問題は、compatibilitを中心に展開しますy古いシステムで。 実装されたプロトコルは普遍的である必要があり、したがって、インターネットを使用しているすべてのコンピューター、サーバー、クライアントが理解する必要があります。 ただし、DNSSECはDNSへのソフトウェア拡張により実装されているため、新しい方法をサポートするために古いシステムを適切に更新することが困難になりました。 それでも、DNSSECメソッドの展開は2009年後半から2010年初頭にルートレベルで始まり、多くの最新のコンピューターオペレーティングシステムにはDNSセキュリティ拡張機能が装備されています。

他の言語

この記事は参考になりましたか? フィードバックをお寄せいただきありがとうございます フィードバックをお寄せいただきありがとうございます

どのように我々は助けることができます? どのように我々は助けることができます?

関連記事