Omdat DNS vaak het doelwit vormt van 'man-in-the-middle'-aanvallen, aanvallen via adresvervalsing (spoofing) en cache-vergiftigingsaanvallen, die moeilijk zijn te bestrijden, bieden de DNS-server en -client in Windows Server® 2008 R2 nu ondersteuning voor DNSSEC (Domain Name System Security Extensions). DNSSEC biedt, kort gezegd, de mogelijkheid om een DNS-zone, en ook alle records in die zone, cryptografisch te ondertekenen. Wanneer een DNS-server die als host optreedt voor een ondertekende zone, een query ontvangt, retourneert die server behalve de opgevraagde records ook digitale handtekeningen. Een resolver of een andere server kan de openbare sleutel van de combinatie van een openbare en een persoonlijke sleutel verkrijgen en bevestigen dat de reacties authentiek zijn en dat er niet mee is geknoeid. Hiertoe moet de resolver of server worden geconfigureerd met een vertrouwensanker voor de ondertekende zone of een vertrouwensanker voor een bovenliggende zone van de ondertekende zone.

De belangrijkste DNSSEC-uitbreidingsmodules zijn gespecificeerd in de RFC's 4033, 4034 en 4035. Hiermee worden beveiligingsmechanismen, zoals oorsprongverificatie, bewaking van de gegevensintegriteit en geverifieerde 'denial of existence', aan DNS toegevoegd. Naast verscheidene nieuwe concepten en mogelijkheden voor zowel de DNS-server als de DNS-client, worden met DNSSEC vier nieuwe bronrecords (DNSKEY, RRSIG, NSEC en DS) aan DNS toegevoegd.

De volgende nieuwe mogelijkheden zijn beschikbaar voor de DNS-server in Windows Server 2008 R2:

  • De mogelijkheid om een zone van een handtekening te voorzien en als host van ondertekende zones op te treden

  • Ondersteuning voor wijzigingen in het DNSSEC-protocol

  • Ondersteuning voor de bronrecords DNSKEY, RRSIG, NSEC en DS

De volgende nieuwe mogelijkheden zijn beschikbaar voor de DNS-client in Windows Server 2008 R2:

  • De mogelijkheid om kennis van DNSSEC aan te geven in query's

  • De mogelijkheid om de bronrecords DNSKEY, RRSIG, NSEC en DS te verwerken

  • De mogelijkheid om te controleren of de DNS-server waarmee de client communiceert, namens de client validatiecontroles heeft uitgevoerd

Het gedrag van de DNS-client met betrekking tot DNSSEC wordt geregeld via de NRPT (Name Resolution Policy Table), waarin instellingen zijn opgeslagen die het gedrag van de DNS-client bepalen. De NRPT wordt gewoonlijk beheerd via groepsbeleid.

Aanvullende naslaginformatie


Inhoudsopgave