dnssssec

0
659
schloss_mann_copy

Extensions de sécurité du système de noms de domaine

Le dnssec est un ensemble de normes sur Internet qui fournissent une garantie de mécanismes de sécurité. Celles-ci sont également soumises à l’authenticité et à l’intégrité des données. Un participant du dnssec peut vérifier certaines données de zone. Ceci permet également de vérifier si les données de la zone DNS sont identiques à celles d’un créateur autorisé par la zone.

Pas de cryptage des données

Le dnssec est conçu pour lutter contre le poinsoning de cache. Les signatures numériques sont sauvegardées pendant le transfert des enregistrements de ressources. L’authentification n’a jamais lieu sur les serveurs ni chez les clients. Aucune donnée n’est cryptée à dnssec. Le cryptosystème asymétrique. Le propriétaire d’un certain élément d’information est appelé le serveur maître. Il y a aussi la zone à sécuriser. Chaque enregistrement est signé avec une clé privée ou une clé secrète. L’authenticité et l’intégrité peuvent être validées par une clé publique. L’extension EDNS est préférée par dnssec. Des paramètres supplémentaires peuvent être utilisés avec cette extension. La limite de taille de 512 octets est en outre levée avec l’extension. Des messages DNS plus longs sont nécessaires si une clé ou une signature doit être transmise.

Comment fonctionne le DNS ?

Dans le RR, c’est-à-dire le Resource Record, les informations sont fournies par le dnssec. Ceux-ci sécurisent l’authenticité de l’information avec une signature numérique. Le serveur maître situé dans la zone est le propriétaire de ces informations. Cela fait également autorité. Pour chaque zone à sécuriser, il y a une clé de zone chantante, c’est-à-dire une clé de zone. La paire se compose de clés publiques et privées. La partie publique de la clé de zone est incluse dans le fichier de zone en tant qu’enregistrement de ressource DNSKEY. La clé privée garantit que chaque RR individuel est signé numériquement dans la zone. Un enregistrement de ressource est rempli à cette fin, qui est alors l’enregistrement de ressource RRSIG. Celui-ci contient la signature de l’entrée DNS.
En plus de l’enregistrement de ressource normal, un RRSIG-RR est également envoyé avec chacune de ces transactions. Dans le cas d’un transfert dans la zone, les esclaves le reçoivent en premier. Celle-ci est ensuite stockée dans un cache avec une bonne résolution. Enfin, le RR atterrit sur le revolver qui l’a demandé. La clé de la zone publique peut être utilisée pour valider la signature.

L’évaluation

Chez dnssec, les résolveurs DNS sont les dispositifs finaux, tels qu’un ordinateur ou un smartphone, sur lesquels les enregistrements ne peuvent être validés. Les Stubresolvers sont simplement des programmes construits qui peuvent résoudre complètement un nom. Egalement dans un serveur de noms récursif. Afin de résoudre ce nom, le FAI envoie une requête à un serveur de noms dans le réseau local, ou aussi dans le réseau du FAI, prononcé Internet Service Provider.

Un bit DO est activé, qui peut indiquer au résolveur du serveur de noms que l’enregistrement doit être validé. Le stubresolver doit supporter l’extension EDNS du dnssec. Le serveur peut également être configuré de cette manière. Cela signifie que la validation peut toujours être effectuée.

Ceci est indépendant du contenu et de la présence du bit DO. Si le serveur renvoie une erreur générale, quelque chose a mal tourné. S’il a réussi, le serveur donne une réponse en bit AD. AD signifie Données authentifiées. Pour un résolveur de stub, il n’est pas possible de dire si l’erreur a été causée par l’échec de la validation ou par toute autre cause. Les causes peuvent être une panne de courant ou une panne du serveur de nom dans le nom de domaine demandé.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here