Межсетевое экранирование

         

Основные механизмы безопасности для сервисов DNS


Основные механизмы безопасности для сервисов DNS описаны в документах IETF, специфицирующих DNSSEC и TSIG. Рассмотрим эти спецификации, конфигурационные опции и список необходимых действий для различных компонент DNS и систем, на которых они развернуты.

  • Окружение, в котором выполняются сервисы DNS:
    • платформа хоста (ОС, файловая система, стек протокола);
    • ПО DNS (name-сервера, resolver’а);
    • данные DNS (зонный файл, конфигурационный файл).
  • Транзакции DNS:
    • запрос / ответ DNS;
    • зонные пересылки;
    • динамические обновления;
    • DNS NOTIFY.
  • Администрирование DNS с учетом требований безопасности:
    • выбор алгоритмов и размеров ключей (TSIG и DNSSEC);
    • управление ключом (создание, хранение и использование);
    • опубликование открытого ключа и определение доверенных корневых ключей;
    • восстановление ключа (плановое и аварийное).



Содержание раздела