Wikipedie

Domain Name System Security Extensions: Porovnání verzí

Interaktivně procházet historii
← Přejít na předchozí porovnáníPřejít na další porovnání →
Smazaný obsah Přidaný obsah
VizuálníWikitext
Robot: Opravuji 2 zdrojů and označuji 0 zdrojů jako nefunkční #IABot (v2.0beta8)
Správný slovosled, český nešvar "IP adresa" (apod.) ve smyslu internetověprotokolová adresa se nečtě dobře a je logickým nesmyslem vzniklým nesprávným předkladem z angličtiny. Správně je adresa IP, tedy adresa Internetového protokolu.
Řádek 1:
'''DNSSEC''' (zkratka pro '''Domain Name System Security Extensions''') je v [[Informatika|informatice]] sada specifikací [[Internet Engineering Task Force|IETF]] specifikací, které umožňují zabezpečit informace poskytované systémem[[Domain Name System|DNS]] systémem v sítích [[Internet Protocol|IP]] sítích (tj. na [[Internet]]u) proti [[Padělání|podvržení]] (tzv. ''spoofing'') a úmyslné manipulaci. Klient (resolver) může pomocí [[Elektronický podpis|elektronického podpisu]] ověřit původ dat, jejich integritu (neporušenost) nebo platnost neexistence záznamu, ale nezajišťuje zašifrovaný přenos dat (tj. utajení) a nezaručuje jejich dostupnost.
 
== Příklad podvržení DNS ==
Běžný [[DNS]] systém slouží k překladu [[Internetová doména|doménových jmen]] na adresy [[IP adresa|IP]] adresy (a zpět), ale nemá žádnou ochranu proti napadení. Pokud je do [[Webový prohlížeč|webového prohlížeče]] zadána adresa ''www.banka.cz'', může být přeložena na podvrženou [[IP adresa|IP adresu]], přičemž v adresním řádku prohlížeče bude stále ''www.banka.cz'', takže uživatel nepostřehne, že prohlížeč ve skutečnosti zobrazil podvrženou stránku (viz [[Phishing]]). Tomuto útoku se lze bránit tak, že ''www.banka.cz'' použije pro komunikaci zabezpečený protokol [[HTTPS]], avšak ne každý uživatel může tento rozdíl postřehnout (navíc i toto se dá obejít, více viz [[HTTPS]]).
 
== Jak DNSSEC funguje? ==
Řádek 10:
[[Soubor:Dl1421s.png|náhled|Grafické znázornění.]]
 
Na obrázku vpravo je grafická reprezentaci validace DNSSEC. K doméně si musíme najít záznam typu [[Delegation Signer|DS]] záznam u rodiče. Ten následně validovat pomocí rodičovského ZSK (který je podepsaný rodičovským KSK) a pokud rodič není kořenový server, pak tento proces opakovat. Kořenový server nad sebou již nikoho nemá, bere se tedy jeho KSK klíč jako validní.
 
Můžete si všimnout, že vedle kořenového serveru je větev s tzv. záznamem [[DNSSEC Look-aside Validation|DLV]] záznamem. Jedná se o dodatečný bezpečnostní záznam pro ty domény, které by chtěly být DNSSEC validní, avšak jejich rodič DNSSEC nepodporuje. Tímto, místo DS záznamu u rodiče, je možno najít záznam potřebný pro validaci KSK domény na oficiálních serverech DNSSEC.
 
Jako další věc, která vás může zaujmout, je DNSKEY, který zdánlivě nic nepodepisuje, ale přesto je na serveru uložen. Některé domény mají více klíčů většinou z důvodu jejich omezené platnosti (každý klíč je platný pouze pro určité časové období, toto období je uvedeno přímo u klíče). V případě, že se blíží konec platnosti jednoho klíče, je třeba mít již nový připravený, aby správce mohl dát svému rodiči nový, platný klíč a změna klíčů tak proběhla takříkajíc hladce.
Řádek 21:
Každá doména, pokud používá DNSSEC, má 2 typy podpisových klíčů. Každý klíč má veřejnou a privátní část. Jelikož DNSSEC je založen na asymetrickém šifrování, jsou data zašifrována privátní částí (není dostupná veřejnosti) a lze je rozšifrovat pouze veřejnou částí klíče.
 
; [[Zone Signing Key]] (ZSK): Slouží k podpisu vlastních dat (tedy dat této domény, která DNS server DNS poskytuje v odpovědích na dotazy klientů), čímž zajistí, že pokud jsou podvržena, jste schopni to zjistit
;[[Key Signing Key]] (KSK): Slouží pro podepsání ZSK, hash veřejné části tohoto klíče je zároveň uložen u rodičovské domény. Také se označuje jako [[DNSKEY Secure Entry Point|DNSKEY-SEP]] (Secure Entry Point)
 
Řádek 31:
 
=== Řetězec důvěry ===
Jedná se v podstatě o seznam záznamů, které byly použity pro validaci DNSSEC domény DNSSEC. Kořenová doména má veřejnou část svého KSK záznamu na oficiálních stránkách, tento klíč pak validuje přes RRSIG její ZSK, který validuje DS záznam o potomku, který validuje KSK potomka a takto tento řetězec pokračuje, až se dostaneme na konec (za předpokladu, že je testovaná doména validní).
 
== Historie DNS(SEC) ==
Citováno z „https://cs.wikipedia.org/wiki/Domain_Name_System_Security_Extensions