DNSSEC

Τたうοおみくろん λήμμα παραθέτει τις πηγές τたうοおみくろんυうぷしろん αόριστα, χωρίς παραπομπές. Βοηθήστε συνδέοντας τたうοおみくろん κείμενο μみゅーεいぷしろん τις πηγές χρησιμοποιώντας παραπομπές, ώστε νにゅーαあるふぁ είναι επαληθεύσιμο. Τたうοおみくろん πρότυπο τοποθετήθηκε χωρίς ημερομηνία. Γがんまιいおたαあるふぁ τたうηいーた σημερινή ημερομηνία χρησιμοποιήστε: {{χωρίς παραπομπές|20|08|2024}}

Αυτό τたうοおみくろん λήμμα χρειάζεται επιμέλεια ώστε νにゅーαあるふぁ ανταποκρίνεται σしぐまεいぷしろん υψηλότερες προδιαγραφές ορθογραφικής κかっぱαあるふぁιいおた συντακτικής ποιότητας ή μορφοποίησης. Αίτιο: 15 Γがんまιいおたαあるふぁ περαιτέρω βοήθεια, δείτε τたうαあるふぁ λήμματα πώς νにゅーαあるふぁ επεξεργαστείτε μみゅーιいおたαあるふぁ σελίδα κかっぱαあるふぁιいおた τたうοおみくろんνにゅー οδηγό μορφοποίησης λημμάτων.

Τたうοおみくろん DNSSEC περιλαμβάνει βελτιώσεις κかっぱαあるふぁιいおた προσθήκες σしぐまτたうαあるふぁ σημεία τたうοおみくろんυうぷしろん DNS τたうαあるふぁ οποία είναι ευάλωτα σしぐまεいぷしろん επιθέσεις. Αναπτύχθηκε από τたうηいーたνにゅー IETF (Internet Engineering Task Force) όχι μόνο γがんまιいおたαあるふぁ νにゅーαあるふぁ αντιμετωπίσει τις αδυναμίες τたうοおみくろんυうぷしろん DNS, αλλά κかっぱαあるふぁιいおた νにゅーαあるふぁ είναι σしぐまεいぷしろん μία επεκτάσιμη μορφή ώστε νにゅーαあるふぁ αντιμετωπιστούν κかっぱαあるふぁιいおた μελλοντικά κενά ασφαλείας.

Επομένως, γがんまιいおたαあるふぁ νにゅーαあるふぁ κατανοήσουμε τたうηいーたνにゅー αναγκαιότητα κかっぱαあるふぁιいおた τたうηいーた λειτουργία τたうοおみくろんυうぷしろん DNSSEC πρέπει νにゅーαあるふぁ ξέρουμε (συνοπτικά) τたうηいーた λειτουργία κかっぱαあるふぁιいおた τたうαあるふぁ τρωτά σημεία τたうοおみくろんυうぷしろん DNS.

Τたうοおみくろん DNS είναι ηいーた υπηρεσία καταλόγου τたうοおみくろんυうぷしろん διαδικτύου, ηいーた οποία περιλαμβάνει:

• Μみゅーιいおたαあるふぁ κατανεμημένη βάση δεδομένων πぱいοおみくろんυうぷしろん έχει υλοποιηθεί σしぐまεいぷしろん μία ιεραρχία εξυπηρετητών DNS (DNS servers)
• Ένα πρωτόκολλο επιπέδου εφαρμογής πぱいοおみくろんυうぷしろん επιτρέπει σしぐまεいぷしろん υπολογιστές κかっぱαあるふぁιいおた εξυπηρετητές ονομάτων νにゅーαあるふぁ υποβάλουν ερωτήματα σしぐまεいぷしろん μία κατανεμημένη βάση δεδομένων(πάνω σしぐまεいぷしろん UDP σしぐまτたうηいーた θύρα 53).

Τたうοおみくろん DNS χρησιμοποιείται κυρίως γがんまιいおたαあるふぁ τたうηいーた μετάφραση τたうωおめがνにゅー ονομάτων διευθύνσεων υπολογιστών (πぱい.χかい. www.site1.com) από φυσική γλώσσα σしぐまεいぷしろん διευθύνσεις IP (πぱい.χかい. 150.10.10.1).

Άλλες σημαντικές υπηρεσίες πぱいοおみくろんυうぷしろん παρέχει:

• Ψευδώνυμα υπολογιστών
• Ψευδώνυμα εξυπηρετητή ταχυδρομείου
• Κατανομή φόρτου

Εγγραφές Πόρων (Resource Records-RR)

Μみゅーιいおたαあるふぁ RR είναι μία τετράδα της μορφής: [Όνομα, Τιμή, Τύπος, TTL], ηいーた οποία αποθηκεύεται στους εξυπηρετητές DNS κかっぱαあるふぁιいおた αποστέλλεται σしぐまτたうαあるふぁ μηνύματα DNS.

Άρα τたうοおみくろん DNS αποτελεί σημαντικό κομμάτι της λειτουργίας τたうοおみくろんυうぷしろん διαδικτύου.

Ευάλωτα σημεία τたうοおみくろんυうぷしろん DNS τたうαあるふぁ οποία αντιμετωπίζονται μみゅーεいぷしろん τたうοおみくろん DNSSEC:

• DNS spoofing [1]
• DNS ID hacking [2]
• DNS cache poisoning [3]

^[1]

Οおみくろん πυρήνας τたうοおみくろんυうぷしろん DNSSEC περιγράφεται σしぐまτたうαあるふぁ ακόλουθα 3 RFCs:

• RFC 4033 - DNS Security Introduction and Requirements
• RFC 4034 - Resource Records for the DNS Security Extensions
• RFC 4035 - Protocol Modifications for the DNS Security Extensions

Οおみくろん κύριος μηχανισμός ασφαλείας τたうοおみくろんυうぷしろん DNSSEC είναι ηいーた ταυτοποίηση τたうωおめがνにゅー μηνυμάτων απαντήσεων, κάνοντας χρήση ψηφιακών υπογραφών κかっぱαあるふぁιいおた κρυπτογραφίας δημοσίου κλειδιού. Όταν ένας χρήστης ζητά τたうηいーたνにゅー επίλυση μιας διεύθυνσης μέσω τたうοおみくろんυうぷしろん DNSSEC ηいーた απάντηση πぱいοおみくろんυうぷしろん λαμβάνει είναι ψηφιακά υπογεγραμμένη άρα είναι σίγουρος γがんまιいおたαあるふぁ τたうηいーたνにゅー αυθεντικότητα τたうοおみくろんυうぷしろん μηνύματος.

Τたうοおみくろん DNSSEC χρησιμοποιεί ψηφιακές υπογραφές σしぐまεいぷしろん κάθε κίνηση πぱいοおみくろんυうぷしろん πραγματοποιείται σしぐまτたうοおみくろん Internet.

Ηいーた ασφάλεια πληροφοριακών συστημάτων στηρίζεται σしぐまεいぷしろん τρεις βασικές ιδέες::

• Εμπιστευτικότητα (Confidentiality)
• Ακεραιότητα (Integrity)
• Διαθεσιμότητα (Availability)

Τたうοおみくろん DNSSEC σκόπιμα δでるたεいぷしろんνにゅー είναι σχεδιασμένο γがんまιいおたαあるふぁ νにゅーαあるふぁ δώσει έμφαση σしぐまτたうηいーたνにゅー εμπιστευτικότητα ή νにゅーαあるふぁ βελτιώσει τたうηいーた διαθεσιμότητα τたうωおめがνにゅー δεδομένων. Οおみくろん κύριος σκοπός τたうοおみくろんυうぷしろん είναι νにゅーαあるふぁ επικεντρωθεί σしぐまτたうηいーたνにゅー ακεραιότητα τたうωおめがνにゅー δεδομένων.

Τたうοおみくろん DNSSEC κάνει χρήση ενός επικεντρωμένου μοντέλου εμπιστοσύνης από πάνω προς τたうαあるふぁ κάτω, υπογράφοντας αρχικά μία κύρια ζώνη εμπιστοσύνης. Ηいーた υπογεγραμμένη κύρια ζώνη ταυτοποιεί άμεσα τたうηいーたνにゅー πρώτη ζώνη τたうωおめがνにゅー κατανεμημένων εξυπηρετητών DNS, αυτοί μみゅーεいぷしろん τたうηいーた σειρά τους τたうηいーた δεύτερη κかっぱοおみくろんκかっぱ δημιουργώντας έτσι μία αλυσίδα εμπιστοσύνης (chain of trust).[4]

Τたうοおみくろん σύνολο επεκτάσεων τたうοおみくろんυうぷしろん DNSSEC σχεδιάστηκε έτσι ώστε νにゅーαあるふぁ παρέχει

1. Πιστοποίηση Προέλευσης (origin authentication) τたうωおめがνにゅー δεδομένων DNS Πιστοποίηση ότι τたうαあるふぁ δεδομένα ήρθαν από τたうοおみくろんνにゅー αναμενόμενο αποστολέα.
2. Ακεραιότητα τたうωおめがνにゅー Δεδομένων (data integrity)[] Τたうαあるふぁ δεδομένα αυτά καθαυτά είναι σωστά
3. Πιστοποιημένη άρνηση ύπαρξης (authenticated denial of existence) Πιστοποίηση μιας απάντησης «δでるたεいぷしろんνにゅー υπάρχουν δεδομένα»

Αυτός οおみくろん μηχανισμός απαιτεί αλλαγή σしぐまτたうοおみくろん DNS. Έτσι τたうοおみくろん DNSSEC προσθέτει 4 νέα πεδία εγγραφών (Recursive Records - RR) σしぐまτたうαあるふぁ μηνύματά τたうοおみくろんυうぷしろん:

1. Resource Record Signature (RRSIG) Οおみくろんιいおた ψηφιακές υπογραφές αποθηκεύονται σしぐまτたうοおみくろん πεδίο εγγραφής RRSIG κかっぱαあるふぁιいおた χρησιμοποιούνται από τたうηいーた διαδικασία αυθεντικοποίησης τたうοおみくろんυうぷしろん DNSSEC όπως περιγράφεται σしぐまτたうοおみくろん [RFC4035].
2. DNS Public Key (DNSKEY) Τたうαあるふぁ δημόσια κλειδιά αποθηκεύονται σしぐまτたうοおみくろん πεδίο εγγραφής DNSKEY κかっぱαあるふぁιいおた χρησιμοποιούνται σしぐまτたうηいーた διαδικασία αυθεντικοποίησης όπως περιγράφεται σしぐまτたうοおみくろん [RFC4035]
3. Delegation Signer (DS) Μみゅーιいおたαあるふぁ εγγραφή DS σχετίζεται μみゅーεいぷしろん τたうοおみくろん DNSKEY RR αποθηκεύοντας τたうοおみくろんνにゅー αριθμό τたうοおみくろんυうぷしろん αλγορίθμου πぱいοおみくろんυうぷしろん χρησιμοποιείται κかっぱαあるふぁιいおた τたうηいーた σύνοψη (digest) τたうοおみくろんυうぷしろん DNSKEY RR. [RFC4035]
4. Next Secure (NSEC) χρησιμοποιείται σしぐまτたうηいーたνにゅー αλυσίδα εμπιστοσύνης

Γがんまιいおたαあるふぁ νにゅーαあるふぁ υποστηρίξει τたうοおみくろん μέγεθος τたうωおめがνにゅー μηνυμάτων DNS - πぱいοおみくろんυうぷしろん αναπόφευκτα αυξάνεται – προστίθενται κかっぱαあるふぁιいおた δύο νέα πεδία κεφαλίδας (Header Flags): Checking Disabled (CD) κかっぱαあるふぁιいおた Authenticated Data (AD).

Ελέγχοντας τたうηいーたνにゅー υπογραφή οおみくろん χρήστης μπορεί νにゅーαあるふぁ ξέρει αあるふぁνにゅー τたうοおみくろん μήνυμα είναι αυθεντικό κかっぱαあるふぁιいおた ολοκληρωμένο.

Ηいーた κύρια ζώνη τたうοおみくろんυうぷしろん DNS (servers A-M) υπογράφηκε τたうοおみくろん καλοκαίρι τたうοおみくろんυうぷしろん 2010 (15 Ιουλίου 2010). Οおみくろんιいおた άγκυρες εμπιστοσύνης είναι διαθέσιμες από τたうηいーたνにゅー IANA. [5]

Τたうοおみくろん DNS είναι ένα point-to-point protocol σしぐまεいぷしろん αντίθεση μみゅーεいぷしろん γがんまιいおたαあるふぁ παράδειγμα τたうοおみくろん SSH πぱいοおみくろんυうぷしろん εξασφαλίζει ασφάλεια σしぐまεいぷしろん όλο τたうοおみくろん μήκος της διαδρομής τたうωおめがνにゅー δεδομένων.

^[2]

Είναι επομένως φανερό ότι ηいーた ανάπτυξη κかっぱαあるふぁιいおた ηいーた αποδοχή τたうοおみくろんυうぷしろん DNSSEC είναι κρίσιμης σημασίας θέμα γがんまιいおたαあるふぁ τたうηいーたνにゅー ασφάλεια σしぐまτたうοおみくろん διαδίκτυο, αあるふぁνにゅー κかっぱαあるふぁιいおた υπήρξαν διάφορα προβλήματα όπως:

• Ανάγκη γがんまιいおたαあるふぁ συμβατότητα προς τたうαあるふぁ πίσω (backwards compatability)
• Διαφορετικές υλοποιήσεις γがんまιいおたαあるふぁ ένα ευρύ πλήθος εξυπηρετητές DNS κかっぱαあるふぁιいおた χρήστες
• Προστασία από τたうηいーたνにゅー «απαρίθμηση ζώνης», ηいーた οποία λύθηκε: "DNSSEC Hashed Authenticated Denial of Existence" (ανεπίσημα ως "NSEC3")
• Διαφωνία γがんまιいおたαあるふぁ τたうοおみくろん ποιος θしーたαあるふぁ κατέχει τたうαあるふぁ κλειδιά της κύριας ζώνης
• Εξάλειψη της μεγάλης πολυπλοκότητας τたうοおみくろんυうぷしろん DNSSEC κかっぱαあるふぁιいおた της ανάπτυξής τたうοおみくろんυうぷしろん

Οおみくろんιいおた εγγραφές πόρων DNSKEY, RRSIG, DS χρησιμοποιούν έναν 8-bit αριθμό οおみくろん οποίος προσδιορίζει τたうοおみくろんνにゅー αλγόριθμο ασφαλείας πぱいοおみくろんυうぷしろん χρησιμοποιείται σしぐまεいぷしろん κάθε περίπτωση.

• http://www.slideshare.net/dyninc/introduction-to-DNSSEC Αρχειοθετήθηκε 2012-06-19 σしぐまτたうοおみくろん Wayback Machine.
• http://www.slideshare.net/findwhitepapers/DNSSEC-the-antidote-to-dns-cache-poisoning-and-other-dns-attacks
• http://www.slideshare.net/vramiroc/DNSSEC-first
• http://en.wikipedia.org/wiki/DNSSEC#DNSSEC_reveals_zone_data
• http://www.slideshare.net/dyninc/introduction-to-DNSSEC Αρχειοθετήθηκε 2012-06-19 σしぐまτたうοおみくろん Wayback Machine.