DNS genellikle savunması güç olan ortadaki adam, sızma ve önbellek zehirleme saldırılarına maruz kaldığından, Windows Server® 2008 R2'deki DNS sunucusu ve istemcisinde Etki Alanı Adı Sistem Güvenliği Uzantıları (DNSSEC) desteği bulunmaktadır. Kısacası DNSSEC, DNS bölgesinin ve bölgedeki tüm kayıtların şifreli olarak imzalanmasını sağlar. İmzalı bölge barındıran bir DNS sunucusuna sorgu geldiğinde, DNS sunucusu sorgulanan kayıtlara ek olarak dijital imzaları da geri getirir. Çözümleyici veya başka bir sunucu, ortak/özel anahtar çiftinin ortak anahtarını alabilir ve yanıtların özgün olduğunu ve yanıtlarla oynanmadığını doğrulayabilir. Bunu yapmak için, çözümleyicinin veya sunucunun, imzalı bölge ya da imzalı bölgenin üst öğesi için bir güven bağlantısıyla yapılandırılması gerekir.

Çekirdek DNSSEC uzantıları, RFC 4033, 4034 ve 4035'te belirtilir ve DNS'ye kaynak yetkisi, veri bütünlüğü ve varlığın kimliği belirlenmiş olarak reddini ekler. DNSSEC, hem DNS sunucusuna hem de DNS istemcisine yönelik birçok yeni kavram ve işleme ek olarak DNS'ye dört yeni kaynak kaydı da (DNSKEY, RRSIG, NSEC ve DS) sunar.

Windows Server 2008 R2'deki DNS sunucusunda aşağıdaki değişiklikler mevcuttur:

  • Bölge imzalama ve imzalı bölgeleri barındırma yeteneği.

  • DNSSEC protokolünde değişiklik yapma desteği.

  • DNSKEY, RRSIG, NSEC ve DS kaynak kayıtları desteği.

Windows Server 2008 R2'deki DNS istemcisinde aşağıdaki değişiklikler mevcuttur:

  • Sorgularda DNSSEC bilgisini belirtme yeteneği.

  • DNSKEY, RRSIG, NSEC ve DS kaynak kayıtlarını işleme yeteneği.

  • İletişim kurduğu DNS sunucusunun, istemci adına doğrulama gerçekleştirip gerçekleştirmediğini denetleme yeteneği.

DNS istemcisinin DNSSEC ile ilgili davranışı, DNS istemcisinin davranışını tanımlayan ayarların depolandığı Ad Çözümlemesi İlke Tablosu (NRPT) üzerinden denetlenir. NRPT genellikle Grup İlkesi üzerinden yönetilir.

Ek başvurular

İçindekiler