Ponieważ usługi DNS są często celem ataków typu „pośrednik” (man-in-the-middle), fałszowania i zatruwania pamięci podręcznej, przed którymi trudno się zabezpieczyć, na serwerze i kliencie usług DNS w systemie Windows Server® 2008 R2 wprowadzono obsługę rozszerzeń Domain Name System Security Extensions (DNSSEC). Rozszerzenia DNSSEC pozwalają na kryptograficzne podpisywanie strefy DNS i wszystkich rekordów, które się w niej znajdują. Gdy serwer DNS obsługujący podpisaną strefę odbiera zapytanie, poza rekordami, których dotyczy to zapytanie, zwraca także podpisy cyfrowe. Program rozpoznawania nazw lub inny serwer może uzyskać klucz publiczny z danej pary kluczy publiczny/prywatny i sprawdzić, czy odpowiedzi są autentyczne i nie zostały zmodyfikowane. Aby to zrobić, program rozpoznawania nazw lub serwer musi być skonfigurowany z użyciem kotwicy zaufania dla podpisanej strefy lub dla jej strefy nadrzędnej.

Podstawowe rozszerzenia DNSSEC są zdefiniowane w dokumentach RFC 4033, 4034 i 4035. Wzbogacają one system DNS o funkcje autoryzacji pochodzenia, integralności danych i uwierzytelnionej odmowy istnienia. Oprócz kliku nowych pojęć i operacji związanych z serwerem i klientem DNS, rozszerzenia DNSSEC wprowadzają do systemu DNS cztery nowe rekordy zasobów (DNSKEY, RRSIG, NSEC i DS).

W serwerze DNS w systemie Windows Server 2008 R2 są dostępne następujące zmiany:

  • Możliwość podpisywania strefy i obsługi podpisanych stref.

  • Obsługa zmian w protokole DNSSEC.

  • Obsługa rekordów zasobów DNSKEY, RRSIG, NSEC i DS.

W kliencie DNS w systemie Windows Server 2008 R2 są dostępne następujące zmiany:

  • Możliwość informowania o rozszerzeniach DNSSEC w zapytaniach.

  • Możliwość przetwarzania rekordów zasobów DNSKEY, RRSIG, NSEC i DS.

  • Możliwość sprawdzania, czy serwer DNS, z którym klient się komunikował, przeprowadził walidację na rzecz klienta.

Zachowanie klienta DNS odnośnie rozszerzeń DNSSEC można kontrolować za pomocą tabeli zasad rozpoznawania nazw (Name Resolution Policy Table, NRPT), w której są przechowywane ustawienia określające zachowanie klienta DNS. Tabela NRPT jest zwykle zarządzana za pośrednictwem zasad grupy.

Dodatkowe informacje

Spis treści