Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Domain Name System Security Extensions (DNSSEC) è una suite di estensioni che aggiungono sicurezza al protocollo DNS (Domain Name System) abilitando la convalida delle risposte DNS. Le estensioni DNSSEC consentono di verificare l'autorevolezza dell'origine e l'integrità dei dati, oltre a supportare la negazione autenticata dell'esistenza. Con DNSSEC, il protocollo DNS risulta molto meno vulnerabile a determinati tipi di attacchi, in particolare gli attacchi di spoofing DNS.
Informazioni sul funzionamento di DNSSEC
Le zone DNS possono essere protette con DNSSEC usando un processo denominato firma della zona quando usato con un server DNS autorevole che supporta DNSSEC. La firma di una zona con DNSSEC aggiunge il supporto di convalida a una zona senza modificare il meccanismo di base di una query e una risposta DNS.
La convalida delle risposte DNS avviene usando firme digitali incluse nelle risposte DNS. Queste firme digitali sono contenute nei record di risorse correlati a DNSSEC che vengono generati e aggiunti alla zona durante la firma della zona.
Le estensioni DNSSEC di base sono specificate nella richiesta di commenti (RFC) seguente.
- RFC 4033: "Introduzione e requisiti della sicurezza DNS"
- RFC 4034: "Record di risorse per le estensioni di sicurezza DNS"
- RFC 4035: "Modifiche del protocollo per le estensioni di sicurezza DNS"
La figura seguente mostra un esempio dei record di risorse DNS per la zona contoso.com prima e dopo la firma della zona.
Per altre informazioni su ognuno di questi record di risorse, vedere Record di risorse DNSSEC.
Record di risorse DNSSEC
La tabella seguente illustra i tipi di record di risorse usati con DNSSEC.
| Tipo di record di risorsa | Description |
|---|---|
| Firma record di risorse (RRSIG, Resource Record Signature) | Le firme generate con DNSSEC sono contenute nei record RRSIG. Ogni record RRSIG viene confrontato con un altro record nella zona per cui fornisce una firma digitale. Quando un resolver esegue una query per un nome, nella risposta vengono restituiti uno o più record RRSIG. |
| Next Secure (NSEC) | Un record NSEC viene usato per dimostrare la non esistenza di un nome DNS. I record NSEC impediscono attacchi di spoofing destinati a ingannare un client DNS a credere che un nome DNS non esista. |
| Next Secure 3 (NSEC3) | NSEC3 è una sostituzione o un'alternativa a NSEC che impedisce la passeggiata della zona. "Zone walking è il processo di ripetere le query NSEC per recuperare tutti i nomi in una zona." Un server DNS che esegue Windows Server 2012 o versioni successive supporta sia NSEC che NSEC3. Una zona può essere firmata con NSEC o NSEC3, ma non con entrambi. |
| Parametro NSEC3 (Next Secure 3) | Il record NSEC3PARAM viene usato per determinare quali record NSEC3 includere nelle risposte per i nomi DNS non esistenti. |
| Chiave DNS (DNSKEY) | Un record di risorse DNSKEY archivia una chiave crittografica pubblica usata per verificare una firma. Il record DNSKEY viene usato da un server DNS durante il processo di convalida. I record DNSKEY possono archiviare chiavi pubbliche per una chiave di firma della zona (ZSK) o una chiave di firma della chiave (KSK). |
| Firmatario di delega (DS) | Un record DS è un tipo di record DNSSEC usato per proteggere una delega. I record DS vengono usati per creare catene di autenticazione in zone figlie. |
Ad eccezione del record DS, tutti questi record vengono aggiunti automaticamente a una zona quando viene firmato con DNSSEC. Il record DS è un record speciale che può essere aggiunto manualmente a una zona padre per creare una delega sicura per una zona figlio. Ad esempio, la zona contoso.com può contenere un record DS per secure.contoso.com. Tuttavia, questo record deve essere creato nella zona padre o creato in una zona figlio e quindi propagato alla zona padre. Il record DS non viene creato automaticamente quando si firma una zona.
I record NSEC o NSEC3 vengono aggiunti automaticamente a una zona durante il processo di firma della zona. Tuttavia, una zona firmata non può avere sia i record NSEC che NSEC3. Il tipo di record (NSEC o NSEC3) aggiunto alla zona dipende dalla modalità di configurazione della firma della zona. Nell'esempio precedente la zona viene firmata usando NSEC3.
Ancoraggi attendibili
I record di risorse DNSKEY e DS sono detti anche trust anchor o punti di attendibilità. Un trust anchor deve essere distribuito a tutti i server DNS non autenticativi che eseguono la convalida DNSSEC delle risposte DNS per una zona firmata. Se il server DNS è in esecuzione su un controller di dominio, le ancore di trust vengono memorizzate nella partizione della directory della foresta in Active Directory Domain Services (AD DS) e possono essere replicate in tutti i controller di dominio nella foresta. Nei server DNS autonomi, gli ancoraggi attendibili vengono archiviati in un file denominato TrustAnchors.dns.
Usare Windows PowerShell per visualizzare gli ancoraggi attendibili per una zona usando il comando Get-DnsServerTrustAnchor . Per visualizzare tutti i punti di attendibilità correnti in un server, usare il comando PowerShell Get-DnsServerTrustPoint . Un server DNS che esegue Windows Server 2012 o un sistema operativo successivo visualizza anche i trust anchor configurati nell'albero della console di Gestione DNS nel contenitore Punti di attendibilità .
Passaggi successivi
Per altre informazioni su come DNSSEC usa i record di risorse per convalidare e proteggere le risposte DNS, vedere Convalidare le risposte DNS.