Dnssec безопасный dns

DNSSEC (англ. Domain Name System Security Extensions) — набор спецификаций IETF, обеспечивающий безопасность информации, предоставляемой DNS (англ. Domain Name System) средствами IP(англ. Internet Protocol). Он представляет собой набор расширений для DNS, которые предоставляются DNS клиентам:

-Первичная аутентификация DNS данных -Целостность данных (не обеспечивает конфиденциальность) -Проверка на отрицание существования -Принято считать, что обеспечение безопасности DNS критически важно для интернет-безопасности в целом, но распространению DNSSEC в значительной мере препятствуют: -Разработка обратно совместимого стандарта, который можно масштабировать до размера интернета -Применение реализаций DNSSEC в огромном количестве DNS серверов и клиентов -Разногласия между ключевыми игроками по поводу того, кто должен владеть доменами первого уровня TLD (.com, .net) -Преодоление предполагаемой сложности и применение DNSSEC -Некоторые из этих проблем находятся на стадии разрешения

В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS lookup, который обеспечивает неприкосновенность данных в системе DNS. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищенном домене (COM, NET, RU…) в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования. В процессе защищенного делегирования домена происходит генерация пары ключей. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи зоны после каждого изменения. Цифровая подпись закрытого ключа DS-записи(англ. Designated Signer) передается администратору родительской зоны и подписывается его закрытым ключом. Таким образом организуется цепочка доверия. Зная открытый ключ администратора родительской зоны можно проверить валидность открытого ключа любой из дочерних зон. Получив доступ к файлам с описанием домена на первичном или вторичном серверах DNS или во время передачи данных между серверами, злоумышленник не сможет внести изменения, так как не является владельцем закрытого ключа — все несанкционированные изменения файлов будут отброшены как недостоверные. Так же ни к чему не приведет попытка злоумышленника послать динамический запрос на обновление данных о домене от имени другой системы. Кэширующие сервера провайдера (организации) и пользовательские системы (резолверы) также проверяют достоверность изменений, используя открытый ключ.

Система DNS содержит иерархию серверов DNS. Каждый домен или поддомен поддерживается как минимум одним авторизированным сервером DNS, на котором расположена информация о домене. Иерархия серверов DNS совпадает с иерархией доменов. Интернет считается важнейшим средством инфраструктуры, однако его работоспособность зависит от принципиально небезопасного DNS. Таким образом, существует большой стимул обезопасить DNS, и применение DNSSEC, как правило, считается важнейшей частью работы.

Однако DNSSEC имеет сложности в развитии. Кроме того, развертывание DNSSEC в крупномасштабных сетях также проблематично. DNS сервера должны быть обновлены программным обеспечением, поддерживающим DNSSEC. Клиент, использующий TCP/IP должен иметь обновленный DNS Resolver для использования возможностей DNSSEC. Более того, любой DNS Resolver должен иметь способ получить по крайней мере один достоверный открытый ключ до того, как он начнет использовать DNSSEC. Для решения этих задач уже ведется значительная работа, потому что интернет имеет столь важное значение для многих организаций.

FTP

FTP (англ. File Transfer Protocol — протокол передачи файлов) — протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами по FXP Протокол FTP