Основные механизмы безопасности для сервисов DNS
Основные механизмы безопасности для сервисов DNS описаны в документах IETF, специфицирующих DNSSEC и TSIG. Рассмотрим эти спецификации, конфигурационные опции и список необходимых действий для различных компонент DNS и систем, на которых они развернуты.
- Окружение, в котором выполняются сервисы DNS:
- платформа хоста (ОС, файловая система, стек протокола);
- ПО DNS (name-сервера, resolver’а);
- данные DNS (зонный файл, конфигурационный файл).
- Транзакции DNS:
- запрос / ответ DNS;
- зонные пересылки;
- динамические обновления;
- DNS NOTIFY.
- Администрирование DNS с учетом требований безопасности:
- выбор алгоритмов и размеров ключей (TSIG и DNSSEC);
- управление ключом (создание, хранение и использование);
- опубликование открытого ключа и определение доверенных корневых ключей;
- восстановление ключа (плановое и аварийное).