Применение DNSSEC

Действие DNSSEC основано на использовании так называемых подписанных зон (Signed Zones), под которыми подразумеваются зоны, чьи записи подписываются в соответствии с требованиями, изложенными в RFC-4035. В каждой подписанной зоне могут содержаться записи одного и более новых типов DNSEC, к числу которых относятся записи DNSKEY, NSEC, RRSIG и DS. Эти записи обеспечивают проверку данных DNS на предмет правильно­сти преобразователями.

Для подписания зоны применяется специальный ключ шифрования, который называ­ется ключом ZSK (Zone Signing Key — ключ для подписания зоны) и, по сути, представляет собой состоящую из открытого и закрытого ключа комбинацию, хранимую в сертификате. Для подписания ключа ZSK и тем самым обеспечения проверки его правильности и, по сути, корректности комбинации из открытого и закрытого ключа, применяется еще один ключ, который называется ключом KSK (Key Signing Key — ключ для подписания ключа).

Записи DNSKEY (DNS Public Key) применяются в DNSSEC для хранения открытых клю­чей. Хранение открытых ключей KSK и ZSK в этих записях обеспечивает возможность вы­полнения проверки на предмет правильности подписей зон.

Записи NSEC (Next Secure) применяются в DNSSEC для подтверждения не существо­вания того или иного имени в DNS и позволяют клиентам DNS в случае не извлечения записи при просмотре DNS иметь уверенность в том, что такой записи в зоне DNSSEC не существует.

Записи RRSIG (Resource Record Signature) применяются для хранения подписей, при­надлежащих записям в DNS. Например, для каждой записи А будет обязательно существо­вать соответствующая запись RRSIG. Для каждой записи NSEC тоже будет обязательно су­ществовать такая соответствующая ей запись.

Записи DS (Delegation Signer) применяются для защиты делегируемых другим серверам DNS полномочий и подтверждения их правильности и не позволяют используемым для атак типа "человек посередине" серверам DNS разрывать цепочку защиты во время рекур­сивных просмотров.

Защищенные преобразователи DNSSEC

Кроме того, в DNSSEC применяется понятие так называемых не проверяющих пра­вильность защищенных оконечных преобразователей (Non-Validating Security-Aware Stub Resolver). Под ними подразумеваются такие защищенные (security-aware) преобразователи, которые доверяют выполнять проверку на предмет правильности DNSSEC от их имени одному или более защищенным DNS-серверам. Все клиенты DNS, которые функциониру­ют под управлением Windows, являются не проверяющими правильность защищенными оконечными преобразователями. Это означает, что они не проверяют, являются ли записи DNS защищенными, а вместо этого неявным образом доверяют это делать серверу DNS. Для этого они просто помечают запросы к DNS флагами в соответствии с требованиями, указанными в таблицы NRPT и затем ожидают, когда DNS-сервер выполнить проверку вме­сто них. Сервер DNS возвращает результаты в любом случае и указывает, прошла ли про­верка DNSSEC успешно. В случае, если проверка прошла успешно, Windows-клиенты DNS передают результаты далее тому приложению, которое первоначально запрашивало поиск в DNS.