DNS a DNSSEC
■
DNS je decentralizovaná (distribuovaná)
hierarchická databáze stromového typu, jejímž
hlavním úkolem je poskytovat informace pro
překlad jmen na IP adresy, ale další doplňkové
funkce.
■
Data se v DNS ukládají ve formě tzv. resource
record (RR) záznamů. RR záznam obsahuje tyto
paramatery :





vlastník (owner)
třída (class) - IN, CH
typ (type) - A, NS, MX, ...
ttl
data (rdata - resource data)
1
DNS a DNSSEC
■
RR záznamy jsou sdruženy podle názvu, třídy a
typu do RR setů, které sdílejí stejné TTL.
■
Programy které pracují s DNS rozdělujeme na dvě
kategorie : klient a server.
■
Klient je program, který umožňuje procházet
stromovou strukturu DNS a zjišťovat informace z
RR záznamů.
■
Server je program, který odpovídá na dotazy
klientů na jména pro která je nakonfigurován.
2
DNS a DNSSEC
■
Rekurzivní vyhledávání aplikují rekurzivní (cache)
jmenné servery, které implementují vyhledávání
na klientské straně.
3
DNS a DNSSEC
■
Struktura DNS zprávy :





■
HEADER - hlavička zprávy
QUESTION - dotaz pro jmenný server
ANSWER - odpověď jmenného serveru
AUTHORITY - informace o autoritě
ADDITIONAL - sekce s doplňkovými záznamy
Příznaky v hlavičce zprávy :





QR ... dotaz/odpověď
AA ... autoritativní odpověď
TC ... ″oříznutá″ zpráva, musíme opakovat přes TCP
RD ... požadavek na rekurzivní vyhledání, posílá klient
RA ... server umožňuje rekurzivní vyhledávání
4
DNS a DNSSEC
■
Dotaz zprávy obsahuje tři části :



QNAME ... doménové jméno na které se dotazujeme.
skládá se vždy z jednotlivých labelů (řetězec mezi
dvěma tečkami).
QTYPE ... typ záznamu, např. A, MX, SOA, atd.
QCLASS ... třída záznamu, IN
■
Další tři sekce DNS zprávy obsahují pouze RR
záznamy.
■
Odpověď DNS bude vždy obsahovat alespoň
jeden RR záznam, nebo je v hlavičce DNS
odpovědi obsažen návratový kód popisující
důvod, proč nebyl dotaz vyřízen.
5
DNS a DNSSEC
■
Základní důvody neúspěšného vyhledání jsou :



NXDOMAIN - jméno neexistuje
REFUSED - dotaz odmítnut
SERVFAIL - chyba na straně serveru
6
DNS a DNSSEC
■
Nové typy RR záznamů pro DNSSEC jsou :




■
DNSKEY - veřejný klíč
RRSIG - vlastní digitální podpis
NSEC - řešní pro neexistující záznam
DS - publikace klíče v nadřazené zóně
Záznam DNSKEY :


dnssec.cz 600 IN DNSKEY 257 3 5 (dsdsdror....
fdsf.fdfd......) ; key id=1234
Příznaky klíče :
příznak klíče (257...key signing key KSK, 256...zone signing
key ZSK)
➔ typ protokolu (3 ... DNSSEC)
➔ použitý algoritmus (5 ... RSASHA1)
➔ informativní id
7
➔
DNS a DNSSEC
■
DNSSEC podpis (DNSSEC podepisuje vždy jen RR
sety !) :

;; ANSWER SECTION
www.dnssec.cz 600 IN A 217.31.205.50
www.dnssec.cz 600 IN RRSIG A 5 3 600 2010010103 (
2009010103 58733 dnssec.cz. fdfd434e= )
8
DNS a DNSSEC
■
RDATA v RRSIG záznamu obsahuje tyto položky :








A ... typ podepsaného záznamu
5 ... použitý algoritmus (5 - RSASHA1)
3 ... počet labelů podepisovaného jména
600 ... TTL původního záznamu
2010 ..... konec platnosti podpisu
2009 ..... začátek platnosti podpisu
58733 ... keytag podepisujícího klíče
dssec.cz. ... vlastník podepisujícího klíče (jméno zóny)
9
Download

DNS a DNSSEC