Обеспечение безопасности DNS с помощью DNSSEC
Из-за того, что никаких собственных средств защиты в службе DNS не предлагается, она является уязвимой к атакам типа "спуфинга" (spoofing), "человека посередине" (man-in-the-middle) и "отравления кэша" (cache poisoning). По этой причине создание средств для защиты DNS приобрело очень важное значение. Технология DNSSEC была разработана как раз для этого. Существует несколько документов RFC, выпущенных IETF, в которых описаны различные расширения DNSSEC для DNS.
- Документ RFC-4033, в котором содержатся вводные сведения о защите DNS и предъявляемое к ней требования (DNS Security Introduction and Requirements).
- Документ RFC-4034, в котором описаны записи ресурсов для расширений защиты DNS (Resource Records for the DNS Security Extensions).
- Документ RFC-4035, в котором описаны изменения в протоколе для расширений защиты DNS (Protocol Modifications for the DNS Security Extensions).
Есть и несколько других вспомогательных документов RFC от IETF. Все вместе они помогают изменять и расширять протокол DNS. Сами расширения DNSSEC обеспечивают следующее:
- полномочность источника;
- целостность данных;
- аутентифицированное отрицание существования.
Если объяснять вкратце, то DNSSEC позволяет клиентам знать, что DNS-информация поступает от действительного сервера и не была изменена, и что данный хост действительно существует или не существует.
В Windows Server 2003 и Windows Server 2008 новейшие требования RFC не поддерживаются, потому что реализация DNSSEC в них основывалась на требования теперь уже устаревшего документа RFC-2535. В частности, этот документ требовал использовать вторичные зоны, а они не могут быть совместимыми с зонами DNSSEC в Windows Server 2008 R2.