Compreendendo o DNSSEC

0

Então, eu tenho tentado entender como o DNS e o DNSSEC funcionam lendo os RFCs e também outras várias páginas de ajuda na Internet, mas não tenho certeza se entendi completamente, então eu queria saber se alguém poderia me ajudar Fora.

Aqui estão algumas sinopses do que eu tenho até agora:

O DNSSEC na verdade não criptografa nenhum dado, de modo a manter o sistema eficiente o suficiente para funcionar adequadamente, mas serve para verificar a integridade e autenticidade dos RRsets que um servidor recebe.

O RR DNSKEY é o que contém a chave pública que uma zona pode usar para autenticar a assinatura que vem no RR RRSIG.

Uma zona também terá um DNSKEY no ápice da zona, que pode atuar como um ponto de entrada para a zona. Haverá um DS RR no outro lado do corte de zona que aponta para este DNSKEY.

Estou tendo um pouco de dificuldade com o NSEC RR.
Ele diz que contém todos os tipos de registro de recurso associados a um nome de proprietário de RR e, em seguida, aponta para o próximo nome.

O que significa o nome do proprietário aqui? Isso significa o nome da zona? nome de um host?

Outra pergunta que tenho tem a ver com a interceptação de pacotes. como nada é criptografado, qualquer um poderia interceptar pacotes, certo?

Se este é o caso, então eu estou supondo que é o ponto dos registros NSEC, então se um resolvedor vê algo que o NSEC diz que não deveria, ele sabe que o pacote foi alterado?

Mas eu ainda não vejo exatamente como o DS e o DNSKEY no ápice entram em jogo aqui, porque eu estou assumindo que é o papel que eles desempenham de alguma forma, então eu tenho que estar faltando algo fundamental aqui.

Qualquer ajuda é apreciada.

    
por Luke 21.09.2014 / 02:16

1 resposta

1

Nome do proprietário significa o nome do lado esquerdo. Este é o nome de domínio totalmente qualificado do registro que você está falando, neste caso, um registro NSEC.

Qualquer um pode interceptar os pacotes e ver os registros neles. Registros NSEC (ou NSEC3) estão lá, então existe algo para realmente criar uma assinatura para nomes inexistentes. No DNS regular, um sinalizador no cabeçalho (NXDOMAIN) indica que não existe um nome. Isso pode ser falsificado, claro. O registro NSEC (ou NSEC3) diz basicamente que "não existem nomes entre esses dois nomes e apenas esses RRs existem para o primeiro nome".

O registro do DS é apenas um hash de um DNSKEY. O DNSKEY entra na zona filho e no registro do DS na zona pai. O pai assina o registro do DS com a DNSKEY da zona pai. Isso estabelece uma cadeia de confiança entre o pai e a criança.

    
por 24.09.2014 / 07:38