Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Расширения безопасности системы доменных имен (DNSSEC) — это набор расширений, которые добавляют безопасность к протоколу системы доменных имен (DNS), позволяя проверять ответы DNS. DNSSEC предоставляет центр происхождения, целостность данных и проверку подлинности в отказе в существовании. DNSSEC делает протокол DNS менее уязвимым для атак определенного типа, в частности для спуфинга DNS.
Принцип работы DNSSEC
Зоны DNS можно защитить с помощью DNSSEC, используя процесс, называемый подписью зоны при использовании с доверенным DNS-сервером, поддерживающим DNSSEC. Подписывание зоны с помощью DNSSEC добавляет поддержку проверки в зону без изменения базового механизма запроса DNS и ответа.
Проверка ответов DNS происходит с помощью цифровых подписей, включенных в ответы DNS. Эти цифровые подписи содержатся в записях ресурсов, связанных с DNSSEC, которые создаются и добавляются в зону во время подписания зоны.
Основные расширения DNSSEC указываются в следующем запросе комментариев (RFCs).
- RFC 4033: "DNS Security Introduction and Requirements"
- RFC 4034: "Resource Records for the DNS Security Extensions"
- RFC 4035: "Protocol Modifications for the DNS Security Extensions"
На следующем рисунке показан пример записей ресурсов DNS для зоны contoso.com до и после подписывания зоны.
Дополнительные сведения о каждой из этих записей ресурсов см. в ресурсных записях DNSSEC.
Записи ресурсов DNSSEC
В следующей таблице показаны типы записей ресурсов, используемые с DNSSEC.
| Тип записи ресурса | Description |
|---|---|
| Подпись записи ресурса (RRSIG) | Подписи, созданные с помощью DNSSEC, содержатся в записях RRSIG. Каждая запись RRSIG соответствует другой записи в зоне, для которой она предоставляет цифровую подпись. Когда резолвер отправляет запрос на имя, в ответе возвращаются одна или несколько записей RRSIG. |
| Next Secure (NSEC) | Запись NSEC используется для подтверждения отсутствия DNS-имени. Записи NSEC предотвращают спуфинг-атаки, цель которых ввести DNS-клиента в заблуждение, заставив поверить, что DNS-имя не существует. |
| Next Secure 3 (NSEC3) | NSEC3 is a replacement or alternative to NSEC that prevents zone walking. Прогулка по зонам — это процесс повторения запросов NSEC, чтобы получить все имена в зоне. DNS-сервер под управлением операционной системы Windows Server 2012 или более поздней версии поддерживает как NSEC, так и NSEC3. Зона может быть подписана с помощью NSEC или NSEC3, но не с обоими. |
| Следующий параметр Secure 3 (NSEC3PARAM) | Запись NSEC3PARAM используется для определения включаемых в ответы записей NSEC3 для несуществующих DNS-имен. |
| DNS-ключ (DNSKEY) | Запись ресурса DNSKEY хранит открытый криптографический ключ, используемый для проверки подписи. Запись DNSKEY используется DNS-сервером во время проверки. Записи DNSKEY могут хранить открытые ключи для ключа подписывания зоны (ZSK) или ключа подписывания ключей (KSK). |
| Подписыватель делегирования (DS) | Запись DS — это тип записи DNSSEC, используемый для защиты делегирования. Записи DS используются для создания цепочек аутентификации в дочерних зонах. |
За исключением записи DS, все эти записи добавляются в зону автоматически при подписании с помощью DNSSEC. Запись DS — это специальная запись, которую можно вручную добавить в родительскую зону, чтобы создать безопасное делегирование для дочерней зоны. Например, зона contoso.com может содержать запись DS для secure.contoso.com. Однако эта запись должна быть создана в родительской зоне или создана в дочерней зоне, а затем распространяться в родительскую зону. Запись DS не создается автоматически при подписании зоны.
Записи NSEC или NSEC3 автоматически добавляются в зону во время подписывания зоны. Однако подписанная зона не может содержать записи NSEC и NSEC3. Тип записи (NSEC или NSEC3), добавленный в зону, зависит от настройки подписи зоны. В предыдущем примере зона подписана с помощью NSEC3.
Trust anchors
DNSKEY and DS resource records are also called trust anchors or trust points. Привязка доверия должна распространяться на все неавторитивные DNS-серверы, выполняющие проверку DNSSEC-ответов для подписанной зоны. Если DNS-сервер работает на контроллере домена, привязки доверия хранятся в разделе каталогов леса в службах Active Directory (AD DS) и могут быть реплицированы на все контроллеры домена в лесу. На автономных DNS-серверах привязки доверия хранятся в файле с именем TrustAnchors.dns.
Use Windows PowerShell to view the trust anchors for a zone using the Get-DnsServerTrustAnchor command. To view all the current trust points on a server, use the Get-DnsServerTrustPoint PowerShell command. A DNS server running Windows Server 2012 or a later operating system also displays configured trust anchors in the DNS Manager console tree in the Trust Points container.
Next steps
Дополнительные сведения о том, как DNSSEC использует записи ресурсов для проверки и защиты ответов DNS, см. в статье "Проверка ответов DNS".