Condividi tramite


Che cos'è DNSSEC?

DNSSEC (Domain Name System Security Extensions) è una famiglia di estensioni che aggiunge sicurezza al protocollo DNS (Domain Name System) consentendo la convalida delle risposte DNS. Le estensioni DNSSEC consentono di verificare l'autorevolezza dell'origine e l'integrità dei dati, oltre a supportare la negazione autenticata dell'esistenza. Con DNSSEC, il protocollo DNS risulta molto meno vulnerabile a determinati tipi di attacchi, in particolare gli attacchi di spoofing DNS.

Informazioni sul funzionamento di DNSSEC

Se usate con un server DNS autorevole che supporta DNSSEC, le zone DNS possono essere protette con DNSSEC usando un processo definito firma della zona. La firma di una zona con DNSSEC aggiunge supporto per la convalida a una zona senza modificare il meccanismo di base di query e risposta DNS.

La convalida delle risposte DNS avviene tramite l'uso di firme digitali incluse nelle risposte DNS. Queste firme digitali sono contenute in record di risorse correlati a DNSSEC che vengono generati e aggiunti alla zona durante la firma della zona.

Le estensioni DNSSEC principali sono specificate nelle RFC (Request for Comments) seguenti.

  • RFC 4033: "DNS Security Introduction and Requirements"
  • RFC 4034: "Resource Records for the DNS Security Extensions"
  • RFC 4035: "Protocol Modifications for the DNS Security Extensions"

La figura seguente mostra un esempio di record di risorse DNS nella zona contoso.com prima e dopo la firma della zona.

Diagram showing example DNS resource records in the zone contoso.com before and after zone DNSSEC signing.

Per altre risorse su ognuno di questi record di risorse, vedere Record di risorse DNSSEC.

Record di risorse DNSSEC

La tabella seguente mostra i tipi di record di risorse usati con DNSSEC.

Tipo di record di risorse Descrizione
Firma record di risorse (RRSIG, Resource Record Signature) Le firme generate con DNSSEC sono contenute nei record RRSIG. Ogni record RRSIG corrisponde a un altro record nella zona per il quale fornisce una firma digitale. Quando un resolver emette una query per un nome, in risposta vengono restituiti uno o più record RRSIG.
Next Secure (NSEC) Un record NSEC viene usato per dimostrare l'assenza di un nome DNS. I record NSEC impediscono attacchi di spoofing finalizzati a ingannare un client DNS facendogli credere che un nome DNS non esista.
Next Secure 3 (NSEC3) NSEC3 è una sostituzione o alternativa a NSEC che impedisce l'attraversamento di zona. L'attraversamento di zona è il processo di ripetizione di query NSEC per recuperare tutti i nomi in una zona. Un server DNS che esegue Windows Server 2012 o un sistema operativo successivo supporta sia NSEC che NSEC3. Una zona può essere firmata con NSEC o NSEC3, ma non con entrambi i record.
Parametro Next Secure 3 (NSEC3PARAM) Il record NSEC3PARAM viene usato per determinare quali record NSEC3 includere nelle risposte per i nomi DNS non esistenti.
Chiave DNS (DNSKEY) Un record di risorse DNSKEY archivia una chiave crittografica pubblica usata per verificare una firma. Il record DNSKEY viene usato da un server DNS durante il processo di convalida. I record DNSKEY possono archiviare le chiavi pubbliche per una chiave ZSK o una chiave KSK.
Firmatario delega (DS) Un record DS è un tipo di record DNSSEC usato per proteggere una delega. I record DS vengono usati per creare catene di autenticazione nelle zone figlio.

Ad eccezione del record DS, tutti questi record vengono aggiunti a una zona automaticamente quando viene firmata con DNSSEC. Il record DS è un record speciale che può essere aggiunto manualmente a una zona padre per creare una delega sicura per una zona figlio. Ad esempio, la zona contoso.com può contenere un record DS per secure.contoso.com. Tuttavia questo record deve essere creato nella zona padre oppure in una zona figlio e quindi propagato alla zona padre. Il record DS non viene creato automaticamente quando si firma una zona.

I record NSEC o NSEC3 vengono aggiunti automaticamente a una zona durante la firma. Tuttavia, una zona firmata non può includere entrambi i record NSEC e NSEC3. Il tipo di record (NSEC o NSEC3) aggiunto alla zona dipende dalla configurazione della firma della zona. Nell'esempio precedente la zona viene firmata con NSEC3.

Trust anchor

I record di risorse DNSKEY e DS sono detti anche trust anchor o punti di attendibilità. Un trust anchor deve essere distribuito a tutti i server DNS non autorevoli che eseguiranno la convalida DNSSEC delle risposte DNS per una zona firmata. Se il server DNS è in esecuzione in un controller di dominio, i trust anchor vengono archiviati nella partizione di directory della foresta AD DS (Servizi di dominio Active Directory) e possono essere replicati in tutti i controller di dominio nella foresta. Nei server DNS autonomi i trust anchor sono archiviati in un file denominato TrustAnchors.dns.

Usare Windows PowerShell per visualizzare i trust anchor per una zona usando il comando Get-DnsServerTrustAnchor. Per visualizzare tutti i trust point correnti in un server, usare il cmdlet Get-DnsServerTrustPoint di PowerShell. Un server DNS che esegue Windows Server 2012 o un sistema operativo successivo visualizza i trust anchor configurati anche nell'albero della console Gestore DNS nel contenitore Punti di attendibilità.

Passaggi successivi

Per informazioni su come DNSSEC usa questi nuovi record di risorse per convalidare e proteggere le risposte DNS, vedere Convalidare le risposte DNS.