Protože služba DNS je často terčem útoků někoho, kdo vstoupí do komunikace, falšování identity (spoofing) nebo útoků na mezipaměť (cache-poisoning), proti nimž je náročné se bránit, byla u serveru a klienta DNS v systému Windows Server® 2008 R2 uvedena podpora rozšíření DNSSEC (Domain Name System Security Extensions). Ve zkratce, zabezpečení DNSSEC umožňuje šifrovaně podepsat zónu DNS a veškeré záznamy v ní. Když server DNS, který je hostitelem podepsané zóny, obdrží dotaz, vrátí vedle záznamů, kterých se dotaz týkal, také digitální podpisy. Překladač nebo jiný server může získat veřejný klíč z dvojice veřejného a privátního klíče a ověřit, že odezva je autentická a nikdo s ní neoprávněně nemanipuloval. K tomu je třeba, aby překladač či server byly nakonfigorovány s kotvou vztahu důvěryhodnosti pro podepsanou zónu nebo zónu, která je jí nadřazena.
Základní rozšíření DNSSEC jsou popsána v dokumentech RFC 4033, 4034 a 4035 a doplňují službu DNS o funkce ověření původu, zajištění integrity dat a ověřeného popření existence. Kromě několika nových principů a operací pro server i klienta DNS přináší rozšíření DNSSEC do služby DNS čtyři nové záznamy o prostředcích (DNSKEY, RRSIG, NSEC a DS).
U serveru DNS v systému Windows Server 2008 R2 jsou k dispozici následující změny:
- možnost podepsat zónu a být hostitelem podepsaných zón,
- podpora změn v protokolu DNSSEC,
- podpora záznamů o prostředcích DNSKEY, RRSIG, NSEC a DS.
U klienta DNS v systému Windows Server 2008 R2 jsou k dispozici následující změny:
-
možnost označit znalost rozšíření DNSSEC u dotazů,
-
možnost zpracovávat záznamy o prostředcích DNSKEY, RRSIG, NSEC a DS,
- možnost zkontrolovat, zda server DNS, se kterým klient komunikoval, provedl jménem klienta ověření.
Chování klienta DNS s ohledem na rozšíření DNSSEC řídí Tabulka zásad překladu IP adres (NRPT), v níž se ukládají nastavení, která definují chování klienta DNS. Tabulka zásad překladu IP adres se obvykle spravuje pomocí Zásad skupiny.
Další odkazy
Novinky ve službě DNS (https://go.microsoft.com/fwlink/?LinkId=139322) (stránka může být v angličtině)