Edukira joan

DnsSec

Wikipedia, Entziklopedia askea


Domain Name System Security Extensions (DNSSEC) edo domeinu izen sistemarako segurtasunaren luzapena DNS-ak emaniko zenbait informazio ziurtatzeko IETF-ren espezifikazio multzo bat da, IP sareetan erabilia gehienbat. Hau DNS-arentzako luzapen multzo bat da, DNS bezeroei datu jatorriaren ziurtapena, osotasuna eta ziurtaturiko ezeztapena bermatzen dizkiona.

DNS-a ziurtatzea oso garrantzitsua dela uste izan arren, DNSSEC-aren ezarpena arrazoi hauengatik atzeratua dago:

  1. Normalizazio zailtasuna Internet-en sare tamainarengaitik
  2. Nahi den tokian “zonaldea zenbakitzea” aurreikustea
  3. DNS zerbitzarien artean DNSSEC inplementazioa jazartzearen lan-karga
  4. .com giltzen nagusi garrantzitsuenen arteko desadostasunak
  5. DNSSEC-a ezarri eta DNS-a baztertzearen konplexutasuna

Hauetariko arazo batzuk konpontzen ari dira jadanik.

IP-an oinarritutako sareek, Internet adibidez, IP helbideen artean banatzen dute informazioa. Helbide hau zuzenean erabiltzean hainbat arazo ekar ditzakeenez, DNS zerbitzariak erabiltzen dira. Zerbitari hauek, IP helbideen eta domeinu izenen arteko transkripzioa egiten dute. DNS-a oso erabilkorra da, zoritxarrez ez zen segurua ere izateko pentsatua izan.

Eraso mota asko daude DNS-ari egin daitezkeenak, hauetariko batzuk DNS protokoloaren hauleziei eragindakoak. Threat Analysis of the Domain Name System (DNS) dokumentuak eraso hauen ezagutza gordetzen du, eta DNSSEC zenbateraino beharrezkoa izango litzatekeen erakutsi.

DNSSEC protokoloa interneteko erabiltzaileak babesteko eginiko protokolo bat da, DNS-a ri erasotzen dioten hainbat erasoengandik, DNS katxearen pozoinketa adibidez. DNSSEC-eko erantzun guztiak digitalki sinatuak daude. Sinadura hau aztertuz, DNS erabiltzaile batek emaniko informazioa segurua al den ala ez aztertu dezake.

Hala ere, DNSSEC-ak ez du eraso guztien aurka balio. DNSSEC-ak ez du DoS erasoen aurka balio zuzenean, arazo honetan zenbait abantaila eman arren.

DNSSEC erazagupenak (DNSSEC-bids deiturikoa) DNSSEC protokoloa zehatz mehatz azaltzen du.

Zonaldea zenbakitzea

[aldatu | aldatu iturburu kodea]

DNSSEC-aren helburua segurtasuna ziurtatzea izan arren, askoren ustez ahultasun berri bat sartzen du: zonaldea zenbakitzea (baita ere zonalde ibilaldia). DNSSEC-ak zenbait informazio azaleratzea derrigortzen du, DNS arruntek pribatu gordetzen duten bitartean.

Funtzionamendua

[aldatu | aldatu iturburu kodea]

DNSSEC-ak gako publikoaren kriptografia erabiliz sinatzen ditu DNS eskaerak. Egiazko DNS gako eskaera kate fidagarri baten bidez ziurtatua izaten da, DNS helburuko zonaldeko gako publiko fidagarriengandik hasita.

DNSSEC zabalterraza izateko diseinatua izan zen. Hala, eraso berriak ezagutuaz batera algoritmo berriak sartu daitezkeelarik eraso hauei aurre egiteko. Algoritmo ezagunenak hauek dira:

0 .-Reserved

1 .-RSA/MD5

2 .-DSA/SHA-1

3 .-RSA/SHA-1

4.- RSASHA1-NSEC3-SHA1

5.-RSA/SHA-256

6.- RSA/SHA-512

7.- GOST R 34.10-2001

Erreferentziak

[aldatu | aldatu iturburu kodea]
  • ICANN (Internet Corporation for Assigned Names and Numbers). [1]

Kanpo estekak

[aldatu | aldatu iturburu kodea]