Обеспечение безопасности DNS с помощью DNSSEC

Из-за того, что никаких собственных средств защиты в службе DNS не предлагается, она является уязвимой к атакам типа "спуфинга" (spoofing), "человека посередине" (man-in-the-middle) и "отравления кэша" (cache poisoning). По этой причине создание средств для защиты DNS приобрело очень важное значение. Технология DNSSEC была разработана как раз для этого. Существует несколько документов RFC, выпущенных IETF, в которых описа­ны различные расширения DNSSEC для DNS.

• Документ RFC-4033, в котором содержатся вводные сведения о защите DNS и предъ­являемое к ней требования (DNS Security Introduction and Requirements).
• Документ RFC-4034, в котором описаны записи ресурсов для расширений защиты DNS (Resource Records for the DNS Security Extensions).
• Документ RFC-4035, в котором описаны изменения в протоколе для расширений за­щиты DNS (Protocol Modifications for the DNS Security Extensions).

Есть и несколько других вспомогательных документов RFC от IETF. Все вместе они по­могают изменять и расширять протокол DNS. Сами расширения DNSSEC обеспечивают следующее:

• полномочность источника;
• целостность данных;
• аутентифицированное отрицание существования.

Если объяснять вкратце, то DNSSEC позволяет клиентам знать, что DNS-информация поступает от действительного сервера и не была изменена, и что данный хост действитель­но существует или не существует.

В Windows Server 2003 и Windows Server 2008 новейшие требования RFC не поддерживаются, потому что реализация DNSSEC в них основывалась на требо­вания теперь уже устаревшего документа RFC-2535. В частности, этот документ требовал использовать вторичные зоны, а они не могут быть совместимыми с зонами DNSSEC в Windows Server 2008 R2.