DnsSec
Domain Name System Security Extensions (DNSSEC) edo domeinu izen sistemarako segurtasunaren luzapena DNS-ak emaniko zenbait informazio ziurtatzeko IETF-ren espezifikazio multzo bat da, IP sareetan erabilia gehienbat. Hau DNS-arentzako luzapen multzo bat da, DNS bezeroei datu jatorriaren ziurtapena, osotasuna eta ziurtaturiko ezeztapena bermatzen dizkiona.
DNS-a ziurtatzea oso garrantzitsua dela uste izan arren, DNSSEC-aren ezarpena arrazoi hauengatik atzeratua dago:
- Normalizazio zailtasuna Internet-en sare tamainarengaitik
- Nahi den tokian “zonaldea zenbakitzea” aurreikustea
- DNS zerbitzarien artean DNSSEC inplementazioa jazartzearen lan-karga
- .com giltzen nagusi garrantzitsuenen arteko desadostasunak
- DNSSEC-a ezarri eta DNS-a baztertzearen konplexutasuna
Hauetariko arazo batzuk konpontzen ari dira jadanik.
Gainbegirada
IP-an oinarritutako sareek, Internet adibidez, IP helbideen artean banatzen dute informazioa. Helbide hau zuzenean erabiltzean hainbat arazo ekar ditzakeenez, DNS zerbitzariak erabiltzen dira. Zerbitari hauek, IP helbideen eta domeinu izenen arteko transkripzioa egiten dute. DNS-a oso erabilkorra da, zoritxarrez ez zen segurua ere izateko pentsatua izan.
Eraso mota asko daude DNS-ari egin daitezkeenak, hauetariko batzuk DNS protokoloaren hauleziei eragindakoak. Threat Analysis of the Domain Name System (DNS) dokumentuak eraso hauen ezagutza gordetzen du, eta DNSSEC zenbateraino beharrezkoa izango litzatekeen erakutsi.
DNSSEC protokoloa interneteko erabiltzaileak babesteko eginiko protokolo bat da, DNS-a ri erasotzen dioten hainbat erasoengandik, DNS katxearen pozoinketa adibidez. DNSSEC-eko erantzun guztiak digitalki sinatuak daude. Sinadura hau aztertuz, DNS erabiltzaile batek emaniko informazioa segurua al den ala ez aztertu dezake.
Hala ere, DNSSEC-ak ez du eraso guztien aurka balio. DNSSEC-ak ez du DoS erasoen aurka balio zuzenean, arazo honetan zenbait abantaila eman arren.
DNSSEC erazagupenak (DNSSEC-bids deiturikoa) DNSSEC protokoloa zehatz mehatz azaltzen du.
Zonaldea zenbakitzea
DNSSEC-aren helburua segurtasuna ziurtatzea izan arren, askoren ustez ahultasun berri bat sartzen du: zonaldea zenbakitzea (baita ere zonalde ibilaldia). DNSSEC-ak zenbait informazio azaleratzea derrigortzen du, DNS arruntek pribatu gordetzen duten bitartean.
Funtzionamendua
DNSSEC-ak gako publikoaren kriptografia erabiliz sinatzen ditu DNS eskaerak. Egiazko DNS gako eskaera kate fidagarri baten bidez ziurtatua izaten da, DNS helburuko zonaldeko gako publiko fidagarriengandik hasita.
Algoritmoa
DNSSEC zabalterraza izateko diseinatua izan zen. Hala, eraso berriak ezagutuaz batera algoritmo berriak sartu daitezkeelarik eraso hauei aurre egiteko. Algoritmo ezagunenak hauek dira:
0 .-Reserved
1 .-RSA/MD5
2 .-DSA/SHA-1
3 .-RSA/SHA-1
4.- RSASHA1-NSEC3-SHA1
5.-RSA/SHA-256
6.- RSA/SHA-512
7.- GOST R 34.10-2001