Внедрение DNSSEC

  • 8 мин

Перехват и фальсификация ответа на запрос DNS организации — это распространенный способ атаки. Если злоумышленники могут изменять ответы от DNS-серверов компании Contoso или отправлять ложные ответы для указания клиентских компьютеров на собственные серверы, они могут получить доступ к конфиденциальной информации Contoso. Любая служба, которая использует DNS для первоначального подключения, например веб-серверы электронной коммерции и серверы электронной почты, уязвима.

Что такое DNSSEC?

DNSSEC защищает клиентов, которые осуществляют запросы DNS, от принятия ложных ответов DNS. Когда DNS-сервер, на котором размещается зона с цифровой подписью, получает запрос, сервер возвращает цифровые подписи вместе с запрошенными записями. Сопоставитель или другой сервер может получить открытый ключ из пары открытого и закрытого ключей из якоря доверия, а затем проверить, что ответы являются подлинными и не были изменены. Для этого необходимо настроить сопоставитель или сервер с помощью якоря доверия для подписанной зоны или родителя подписанной зоны.

Ниже приведены общие действия по развертыванию DNSSEC.

  1. Подпишите зону DNS.
  2. Настройте распределение якорей доверия.
  3. Настройте таблицу политики разрешения имен (NRPT) на клиентских компьютерах.

Записи ресурсов

Проверка ответа DNS достигается путем связывания пары закрытого и открытого ключей (созданного администратором) с зоной DNS, а затем определения дополнительных записей ресурсов DNS для подписания и публикации ключей.

Записи ресурсов распределяют открытый ключ, а закрытый ключ остается на сервере. Когда клиент запрашивает проверку, DNSSEC добавляет в ответ данные, позволяющие клиенту проверить подлинность ответа.

В следующей таблице описаны дополнительные записи ресурсов, используемые с DNSSEC.

Тип записи ресурса Характер использования
RRSIG Содержит подпись для набора записей DNS. Клиенты DNS могут использовать его для проверки полномочий ответа. При разрешении записи ресурса подпись записи ресурса (RRSIG) отправляется для проверки.
DNSKEY Публикует открытые ключи для зоны. Позволяет клиентам проверять подписи, созданные закрытым ключом, который хранится на DNS-сервере.
NSEC Если в ответе DNS нет данных, которые необходимо предоставить клиенту, проверка подлинности в следующей защищенной записи (NSEC) проверяет, что узел не существует.
NSEC3 Хэшированная версия записи NSEC, которая предотвращает атаки путем перечисления зоны.
DS Запись делегирования, которая содержит хэш открытого ключа дочерней зоны. Эта запись подписана закрытым ключом родительской зоны. Если дочерняя зона подписанного родителя также подписана, необходимо вручную добавить записи подписавшего делегирование (DS) из дочерней в родительскую зону для создания цепочки доверия.

Подпишите зону DNS.

A screenshot of the DNS Manager console. The administrator has selected the Contoso.com zone, and is launching the DNSSEC Zone Signing Wizard.

Windows Server включает Мастер подписывания зоны в диспетчере DNS, чтобы упростить процесс настройки и подписывания и включить подписывание в сети. Мастер позволяет выбрать параметры подписывания зоны. Если вы решили настроить параметры подписывания зоны вместо использования параметров из существующей зоны или использовать значения по умолчанию, можно использовать этот мастер для настройки следующих параметров:

  • Параметры ключа подписывания ключа.
  • Параметры зоны подписывания ключа.
  • Параметры распространения якорей доверия.
  • Параметры подписывания и опроса.

A screenshot of the Key Signing Key (KSK) page in the Zone Signing Wizard.

Распределение якорей доверия

Якоря доверия является авторитетной сущностью, представленной открытым ключом. В зоне якорей доверия хранятся предварительно настроенные открытые ключи, связанные с определенной зоной. В DNS якорь доверия — это запись ресурса DNSKEY или DS. Клиентские компьютеры используют эти записи для создания цепочек доверия. Необходимо настроить якорь доверия из зоны на каждом DNS-сервере домена, чтобы проверить ответы от этой подписанной зоны. Все DNS-серверы, на которых размещается зона, должны иметь те же записи ключей DNSKEY, чтобы предоставить сведения, необходимые для проверки записей RRSIG.

Таблица политики разрешения имен

Таблица NRPT содержит правила, управляющие поведением клиента DNS при отправке запросов DNS и обработке ответов из этих запросов. Например, правило DNSSEC запрашивает у клиентского компьютера проверку на наличие определенного суффикса домена DNS для проверки ответа. Рекомендуемая групповая политика является предпочтительным способом настройки NRPT. Если NRPT отсутствует, клиентский компьютер принимает ответы, не проверяя их.

Проверка или изменение параметров

После завершения подписывания зоны можно проверить или изменить параметры с помощью следующей процедуры.

  1. В диспетчере DNS щелкните правой кнопкой мыши или активируйте контекстное меню зоны, выберите DNSSEC и щелкните Свойства.
  2. Используйте диалоговое окно Свойства DNSSEC для зоны zonename для просмотра и изменения настроек.
  3. По окончании нажмите кнопку ОК .

A screenshot of the DNSSEC properties for Contoso.com zone dialog box. The administrator has selected the Key Master tab.

Демонстрация

В следующем видео показано, как настроить DNSSEC в DNS Windows Server с помощью консоли DNS. Основные этапы процесса следующие.

  1. Откройте Диспетчер сервера, а затем откройте Диспетчер DNS.
  2. Найдите соответствующую зону прямого просмотра, щелкните правой кнопкой мыши зону или активируйте ее контекстное меню, выберите DNSSEC и подпишите зону.
  3. Для завершения процесса используйте Мастер подписывания зоны.
  4. В диспетчере DNS разверните точки доверия. Убедитесь, что записи ресурсов DNSKEY существуют и их состояние является допустимым.
  5. Откройте раздел Управление групповой политикой.
  6. Откройте подходящий объект групповой политики для редактирования.
  7. В редакторе "Управление групповыми политиками" в разделе Конфигурация компьютера перейдите в раздел Политики>Параметры Windows>Политика разрешения имен.
  8. В разделе "Создание правил" в текстовом поле суффикс введите соответствующий суффикс домена.
  9. Выберите Включить DNSSEC в этом правиле, выберите Требовать от DNS-клиентов проверки того, что имя и адресные данные были проверены DNS-сервером, а затем выберите Создать.

Краткий обзор

1.

Когда вы устанавливаете DNSSEC для Contoso.com, где в иерархии DNS находятся записи о доверии DNSKEY?