Использование возможностей DNSSEC

15.10.2004 12:43

В статье "The Basics of DNSSEC" показано как увеличить безопасность DNS сервера используя возможности DNSSEC (DNS Security Extensions) - расширение DNS протокола, появившиеся в BIND 9 (особенно хорош в этом плане BNID 9.3.0), позволяющее производить аутентификацию запросов и гарантировать целостность передаваемых данных (обмен ключами для предотвращения спуффинга, HMAC-MD5 шифрование).

PS. Использование DNSSEC имеет обратную сторону - необходимо производить сборку BIND с поддержкой OpenSSL, библиотекой в которой не раз находили проблемы безопасности и проблемы в которой могут отразится на безопасности DNS сервера. Практически все обнаруженные проблемы безопасности BIND 9 связаны с OpenSSL, поэтому приходится указывать при сборке "--with-openssl=no".

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/4504-dns

Ключевые слова: dns, ssl, security, auth, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (4)

RSS

1, Аноним (1), 13:26, 15/10/2004 [ответить]	+/–
http://google.ru/search?q=DNSSEC+site:cr.yp.to http://cr.yp.to/djbdns/blurb/security.html

2, Maxim Chirkov (ok), 14:34, 15/10/2004 [^] [^^] [^^^] [ответить]

+/–

>http://google.ru/search?q=DNSSEC+site:cr.yp.to
>http://cr.yp.to/djbdns/blurb/security.html

Насколько я понял, на приведенной странице как раз написано, что в djbdns _нет_ поддержки DNSSEC :-)

Из алтернативных DNS-серверов, DNSSEC, есть пожалуй только в NSD (http://www.nlnetlabs.nl/nsd/).

3, Дмитрий (??), 15:01, 15/10/2004 [^] [^^] [^^^] [ответить]	+/–
DJB утверждает, что DNSSEC таки не обеспечивает защиты от подделок RR: http://cr.yp.to/djbdns/forgery.html

4, anonymous (??), 15:47, 15/10/2004 [^] [^^] [^^^] [ответить]	+/–
> написано, что в djbdns _нет_ поддержки DNSSEC Нет, там написано, что в DNSSEC нет security.

Добавить комментарий

Текст: