Protože služba DNS je často terčem útoků někoho, kdo vstoupí do komunikace, falšování identity (spoofing) nebo útoků na mezipaměť (cache-poisoning), proti nimž je náročné se bránit, byla u serveru a klienta DNS v systému Windows Server® 2008 R2 uvedena podpora rozšíření DNSSEC (Domain Name System Security Extensions). Ve zkratce, zabezpečení DNSSEC umožňuje šifrovaně podepsat zónu DNS a veškeré záznamy v ní. Když server DNS, který je hostitelem podepsané zóny, obdrží dotaz, vrátí vedle záznamů, kterých se dotaz týkal, také digitální podpisy. Překladač nebo jiný server může získat veřejný klíč z dvojice veřejného a privátního klíče a ověřit, že odezva je autentická a nikdo s ní neoprávněně nemanipuloval. K tomu je třeba, aby překladač či server byly nakonfigorovány s kotvou vztahu důvěryhodnosti pro podepsanou zónu nebo zónu, která je jí nadřazena.

Základní rozšíření DNSSEC jsou popsána v dokumentech RFC 4033, 4034 a 4035 a doplňují službu DNS o funkce ověření původu, zajištění integrity dat a ověřeného popření existence. Kromě několika nových principů a operací pro server i klienta DNS přináší rozšíření DNSSEC do služby DNS čtyři nové záznamy o prostředcích (DNSKEY, RRSIG, NSEC a DS).

U serveru DNS v systému Windows Server 2008 R2 jsou k dispozici následující změny:

  • možnost podepsat zónu a být hostitelem podepsaných zón,

  • podpora změn v protokolu DNSSEC,

  • podpora záznamů o prostředcích DNSKEY, RRSIG, NSEC a DS.

U klienta DNS v systému Windows Server 2008 R2 jsou k dispozici následující změny:

  • možnost označit znalost rozšíření DNSSEC u dotazů,

  • možnost zpracovávat záznamy o prostředcích DNSKEY, RRSIG, NSEC a DS,

  • možnost zkontrolovat, zda server DNS, se kterým klient komunikoval, provedl jménem klienta ověření.

Chování klienta DNS s ohledem na rozšíření DNSSEC řídí Tabulka zásad překladu IP adres (NRPT), v níž se ukládají nastavení, která definují chování klienta DNS. Tabulka zásad překladu IP adres se obvykle spravuje pomocí Zásad skupiny.

Další odkazy

Obsah