Kontent qismiga oʻtish

DNSSEC

Vikipediya, ochiq ensiklopediya
Infografik koʻrinish

Domen nomi tizimining xavfsizlik kengaytmalari (inglizcha: DNSSEC - Domain Name System Security Extensions) Internet Protocol (IP) tarmoqlarida domen nomlari tizimida (DNS) almashinadigan maʼlumotlarni xavfsizligini taʼminlash uchun Internet Engineering Task Force (IETF) tomonidan kengaytirilgan spetsifikatsiyalar toʻplamidir. Protokol maʼlumotlarning kriptografik autentifikatsiyasini, mavjudligini rad etishning haqiqiyligini va maʼlumotlar yaxlitligini taʼminlaydi, ammo mavjudligi yoki maxfiyligini taʼminlamasligi mumkin.

Umumiy maʼlumotlar

[tahrir | manbasini tahrirlash]

Domen nomlari tizimining dastlabki dizayni hech qanday xavfsizlik xususiyatlarini oʻz ichiga olmaydi. Bu faqat miqyosli taqsimlangan tizim sifatida oʻylab topilgan. Domen nomi tizimining xavfsizlik kengaytmalari (DNSSEC) orqaga qarab muvofiqligini saqlab, xavfsizlikni qoʻshishga harakat qiladi. RFC 3833 DNS uchun maʼlum boʻlgan tahdidlarning bir qismini va DNSSEC-da ularni hal qilishni hujjatlashtiradi.

DNSSEC DNS-dan foydalangan dasturlarni DNS-kesh bilan zararlanish natijasida hosil boʻlgan soxta yoki manipulyatsiya qilingan DNS maʼlumotlarini qabul qilishdan himoya qilish uchun ishlab chiqilgan. DNSSEC himoyalangan zonalarining barcha javoblari raqamli imzolangan . Raqamli imzoni tekshirib, DNS-rezolyutsiyasi maʼlumot egasi tomonidan eʼlon qilingan va vakolatli DNS-serverda taqdim etilgan maʼlumot bilan bir xilligini (yaʼni oʻzgartirilmagan va toʻliq) tekshirishi mumkin. IP-manzillarni himoya qilish koʻplab foydalanuvchilar uchun dolzarb muammo boʻlsa-da, DNSSEC DNS-da nashr etilgan har qanday maʼlumotlarni, shu jumladan matn yozuvlarini (TXT) va pochta almashinuvi yozuvlarini (MX) himoya qilishi mumkin va kriptografik maʼlumotlarga havolalar nashr etadigan boshqa xavfsizlik tizimlarini yuklash uchun ishlatilishi mumkin. Sertifikat yozuvlari (CERT yozuvlari, RFC 4398), SSH barmoq izlari (SSHFP, RFC 4255), IPSec ochiq kalitlari (IPSECKEY, RFC 4025) va TLS ishonch ankrajlari (TLSA, [rfc:6698 RFC] 6698) kabi DNS-da saqlangan sertifikatlar.

DNSSEC maʼlumotlar maxfiyligini taʼminlash emas; xususan, DNSSEC-ning barcha javoblari tasdiqlangan, ammo shifrlanmagan. DNSSEC toʻgʻridan-toʻgʻri DoS hujumlaridan himoya qilmaydi, garchi u bilvosita bir oz foyda keltiradi (chunki imzo tekshiruvi potentsial ishonchli tomonlardan foydalanishga imkon beradi). 

DNSSEC ochiq kalitli kriptografiya yordamida DNS qidirish uchun yozuvlarni raqamli imzolash bilan ishlaydi. Toʻgʻri DNSKEY yozuvi ishonchli uchinchi shaxs boʻlgan DNS ildiz zonasi uchun tasdiqlangan ochiq kalitlar toʻplamidan boshlab ishonchli zanjir orqali tasdiqlanadi. Domen egalari oʻzlarining kalitlarini yaratadilar va ularni DNS boshqaruv paneli yordamida oʻzlarining domen nomlarini roʻyxatdan oʻtkazuvchisiga yuklaydilar, bu esa oʻz navbatida kalitlarni secDNS orqali zonalar operatoriga (masalan, Verisign for.com) ularni imzolaydigan va nashr etadigan DNS-da yuboradi.

DNSSEC kengaytiriladigan qilib ishlab chiqilgan boʻlib, mavjud algoritmlarga qarshi hujumlar aniqlanganda, yangilari orqaga qarab mos ravishda kiritilishi mumkin. Quyidagi jadvalda 2013-yil aprel holatiga koʻra eng koʻp ishlatiladigan xavfsizlik algoritmlari aniqlangan[1].

Algoritm maydoni Algoritm Manba DNSSEC imzosi DNSSEC-ni tasdiqlash[2]
1 RSA / MD5 Amalga oshirilmasligi kerak Amalga oshirilmasligi kerak
3 DSA / SHA-1 Amalga oshirilmasligi kerak Amalga oshirilmasligi kerak
5 RSA / SHA-1 RFC 3110 Tavsiya etilmaydi Majburiy
6 DSA-NSEC3-SHA1 Amalga oshirilmasligi kerak Amalga oshirilmasligi kerak
7 RSASHA1-NSEC3-SHA1 RFC 5155 Tavsiya etilmaydi Majburiy
8 RSA / SHA-256 [rfc:5702 RFM 5702] Majburiy Majburiy
10 RSA / SHA-512 Tavsiya etilmaydi Majburiy
12 GOST R 34.10-2001 RFC 5933 Amalga oshirilmasligi kerak Majburiy emas
13 ECDSA / SHA-256 RFC 6605 Majburiy Majburiy
14 ECDSA / SHA-384 Majburiy emas Tavsiya etiladi
15 Ed25519 RFC 8080 Tavsiya etiladi Tavsiya etiladi
16 Ed448 Majburiy emas Tavsiya etiladi