DNSSEC



Domen nomi tizimining xavfsizlik kengaytmalari (inglizcha: DNSSEC - Domain Name System Security Extensions) Internet Protocol (IP) tarmoqlarida domen nomlari tizimida (DNS) almashinadigan maʼlumotlarni xavfsizligini taʼminlash uchun Internet Engineering Task Force (IETF) tomonidan kengaytirilgan spetsifikatsiyalar toʻplamidir. Protokol maʼlumotlarning kriptografik autentifikatsiyasini, mavjudligini rad etishning haqiqiyligini va maʼlumotlar yaxlitligini taʼminlaydi, ammo mavjudligi yoki maxfiyligini taʼminlamasligi mumkin


Umumiy maʼlumot


Domen nomlari tizimining dastlabki dizayni hech qanday xavfsizlik xususiyatlarini oʻz ichiga olmaydi. Bu faqat miqyosli taqsimlangan tizim sifatida oʻylab topilgan. Domen nomi tizimining xavfsizlik kengaytmalari (DNSSEC) orqaga qarab muvofiqligini saqlab, xavfsizlikni qoʻshishga harakat qiladi. RFC 3833 DNS uchun maʼlum boʻlgan tahdidlarning bir qismini va DNSSEC-da ularni hal qilishni hujjatlashtiradi.

DNSSEC DNS-dan foydalangan dasturlarni DNS-kesh bilan zararlanish natijasida hosil boʻlgan soxta yoki manipulyatsiya qilingan DNS maʼlumotlarini qabul qilishdan himoya qilish uchun ishlab chiqilgan. DNSSEC himoyalangan zonalarining barcha javoblari raqamli imzolangan . Raqamli imzoni tekshirib, DNS-rezolyutsiyasi maʼlumot egasi tomonidan eʼlon qilingan va vakolatli DNS-serverda taqdim etilgan maʼlumot bilan bir xilligini (yaʼni oʻzgartirilmagan va toʻliq) tekshirishi mumkin. IP-manzillarni himoya qilish koʻplab foydalanuvchilar uchun dolzarb muammo boʻlsa-da, DNSSEC DNS-da nashr etilgan har qanday maʼlumotlarni, shu jumladan matn yozuvlarini (TXT) va pochta almashinuvi yozuvlarini (MX) himoya qilishi mumkin va kriptografik maʼlumotlarga havolalar nashr etadigan boshqa xavfsizlik tizimlarini yuklash uchun ishlatilishi mumkin. Sertifikat yozuvlari (CERT yozuvlari, RFC 4398), SSH barmoq izlari (SSHFP, RFC 4255), IPSec ochiq kalitlari (IPSECKEY, RFC 4025) va TLS ishonch ankrajlari (TLSA, [rfc:6698 RFC] 6698) kabi DNS-da saqlangan sertifikatlar.

DNSSEC maʼlumotlar maxfiyligini taʼminlash emas; xususan, DNSSEC-ning barcha javoblari tasdiqlangan, ammo shifrlanmagan. DNSSEC toʻgʻridan-toʻgʻri DoS hujumlaridan himoya qilmaydi, garchi u bilvosita bir oz foyda keltiradi (chunki imzo tekshiruvi potentsial ishonchli tomonlardan foydalanishga imkon beradi). 

Ishlash


DNSSEC ochiq kalitli kriptografiya yordamida DNS qidirish uchun yozuvlarni raqamli imzolash bilan ishlaydi. Toʻgʻri DNSKEY yozuvi ishonchli uchinchi shaxs boʻlgan DNS ildiz zonasi uchun tasdiqlangan ochiq kalitlar toʻplamidan boshlab ishonchli zanjir orqali tasdiqlanadi. Domen egalari oʻzlarining kalitlarini yaratadilar va ularni DNS boshqaruv paneli yordamida oʻzlarining domen nomlarini roʻyxatdan oʻtkazuvchisiga yuklaydilar, bu esa oʻz navbatida kalitlarni secDNS orqali zonalar operatoriga (masalan, Verisign for .com) ularni imzolaydigan va nashr etadigan DNS-da yuboradi.

Algoritmlar
DNSSEC kengaytiriladigan qilib ishlab chiqilgan boʻlib, mavjud algoritmlarga qarshi hujumlar aniqlanganda, yangilari orqaga qarab mos ravishda kiritilishi mumkin. Quyidagi jadvalda 2013-yil aprel holatiga koʻra eng koʻp ishlatiladigan xavfsizlik algoritmlari aniqlangan:

Manbalar



uz.wikipedia.org


Uzpedia.uz