Purpose of DNSSEC• Ensure authentic

Purpose of DNSSEC
• Ensure authenticity of data origin
• And integrity of data received by a resolver
from an authoritative DNS server
• Done by signing Resource Record (RR) sets
– With a private key
– And including the signature (RRSIG) with the
record

Chain of Trust
• Resolver can verify the RRSIG with the server's
Public Key
– Published by the server in its zone file
– Vouched for by the parent zone
– Vouched for by its parent...
– Unbroken chain of trust up to the root zone
• Only works if all higher‐level zones are signed

DNSSEC Issues
• Protocol still changing
• Only secures record to resolver, not traffic
from resolver to client
• Another reason to disallow external DNS
servers like 8.8.8.8
– To keep all resolver traffic local

Why
• DNSSEC was developed under the auspices of the
Internet Engineering Task Force (IETF) to address
the lack of strong authentication in the DNS
protocol.
• As we saw in previous sections, a resolver would
accept any answer to a query if the response
packet has a few expected elements in its header;
source IP address, destination UDP port and DNS
transaction ID of the response packet header.

Objectives of DNSSEC
• Data origin authentication
– Assurance that the requested data came from the
genuine source
• Data integrity
– Assurance that the data have not been altered
• Authenticated denial of existence

Development of DNSSEC
• Record signatures use public‐key cryptography
to verify authenticity of DNS records
• RFC 2065 (1997): SIG and KEY records
• RFC 2535 (1999): NXT record – denial of
existence of a record
• 2003: DS (Delegation Signer) record
– Allows secure delegation to child zones
– SIG, KEY, NXT evolved to RRSIG, DNSKEY, NSEC
254
Development of DNSSEC
• RFC 3757 (2004)
– Zone‐Signing Key (ZSK)
– Key‐Signing‐Key (KSK)
– Secure Entry Point (SEP)
• A flag used to identify a KSK
• 2005
– NSEC replaced by NSEC3

Man-in-the-Middle Attack
Victim Attacker Server
Attacker generates t o “false” ke – two false key pairs
– Attacker intercepts the genuine keys and
send false keys out
– Client trusts the Attacker's data
• Trusted third party prevents this attack
– The root of DNS

The Delegation Signer (DS) Record
• Links in the chain of trust
• DS record contains a hash of a zone's public
key
• To make performance better, the zone key
may be separated into
– Zone Signing Key (ZSK) and
– Key Signing Key (KSK)

Chain of Trust
• Resolver can verify the RRSIG with the server's
Public Key
– Published by the server in its zone file
– Vouched for by the parent zone
– Vouched for by its parent...
– Unbroken chain of trust up to the root zone
• Only works if all higher‐level zones are signed

DNSSEC Issues
• Protocol still changing
• Only secures record to resolver, not traffic
from resolver to client
• Another reason to disallow external DNS
servers like 8.8.8.8
– To keep all resolver traffic local

Why
• DNSSEC was developed under the auspices of the
Internet Engineering Task Force (IETF) to address
the lack of strong authentication in the DNS
protocol.
• As we saw in previous sections, a resolver would
accept any answer to a query if the response
packet has a few expected elements in its header;
source IP address, destination UDP port and DNS
transaction ID of the response packet header.

Objectives of DNSSEC
• Data origin authentication
– Assurance that the requested data came from the
genuine source
• Data integrity
– Assurance that the data have not been altered
• Authenticated denial of existence

Development of DNSSEC
• Record signatures use public‐key cryptography
to verify authenticity of DNS records
• RFC 2065 (1997): SIG and KEY records
• RFC 2535 (1999): NXT record – denial of
existence of a record
• 2003: DS (Delegation Signer) record
– Allows secure delegation to child zones
– SIG, KEY, NXT evolved to RRSIG, DNSKEY, NSEC
254
Development of DNSSEC
• RFC 3757 (2004)
– Zone‐Signing Key (ZSK)
– Key‐Signing‐Key (KSK)
– Secure Entry Point (SEP)
• A flag used to identify a KSK
• 2005
– NSEC replaced by NSEC3

Man-in-the-Middle Attack
Victim Attacker Server
Attacker generates t o “false” ke – two false key pairs
– Attacker intercepts the genuine keys and
send false keys out
– Client trusts the Attacker's data
• Trusted third party prevents this attack
– The root of DNS

The Delegation Signer (DS) Record
• Links in the chain of trust
• DS record contains a hash of a zone's public
key
• To make performance better, the zone key
may be separated into
– Zone Signing Key (ZSK) and
– Key Signing Key (KSK)

0/5000

จาก: -

เป็น: -

ผลลัพธ์ (ไทย) 1: [สำเนา]

คัดลอก!

วัตถุประสงค์ของ DNSSEC•ความถูกต้องของข้อมูลต้นทาง• และความสมบูรณ์ของข้อมูลที่ได้รับ โดยตัวจากเซิร์ฟเวอร์ DNS ที่มีสิทธิ์•โดยลงชุดระเบียนทรัพยากร (RR)– ด้วยคีย์ส่วนตัว– และรวมทั้งลายเซ็น (RRSIG) มีการคอร์ดความน่าเชื่อถือ•ไขสามารถตรวจสอบการ RRSIG กับของเซิร์ฟเวอร์คีย์สาธารณะ-เผยแพร่ โดยเซิร์ฟเวอร์ในแฟ้มของโซน– ปริยายสำหรับโซนหลัก– ปริยายสำหรับ โดยหลักของ...-ไม่เสียหายห่วงโซ่ของความน่าเชื่อถือสูงสุดโซนราก•ทำงานเฉพาะถ้าโซน higher‐level ทั้งหมดจะถูกเซ็นชื่อปัญหา DNSSECโพรโทคอล•ยังคง เปลี่ยน•ยึดเฉพาะระเบียนเพื่อไข การจราจรไม่ได้จากไขไคลเอ็นต์•อีกหนึ่งเหตุผลที่จะไม่อนุญาตให้ DNS ภายนอกเซิร์ฟเวอร์เช่น 8.8.8.8– จะทำให้การจราจรทั้งหมดจำแนกชื่อท้องถิ่นทำไม• DNSSEC ถูกพัฒนาขึ้นภายใต้การอุปถัมภ์ของการอินเทอร์เน็ต Engineering บังคับใช้งาน (IETF) ที่อยู่การขาดการรับรองความถูกต้องใน DNSโพรโทคอ•เราเห็นในส่วนก่อนหน้า ตัวจะยอมรับคำตอบแบบสอบถามถ้าการตอบสนองแพ็คเก็ตมีกี่องค์ประกอบที่คาดไว้ในส่วนหัวของแหล่งที่มาของ IP พอร์ตปลายทาง UDP และ DNSรหัสธุรกรรมของหัวข้อการตอบสนองแพคเก็ตวัตถุประสงค์ของ DNSSEC•ข้อมูลมารับรองความถูกต้อง– ความเชื่อมั่นว่าข้อมูลร้องขอมาจากการแหล่งที่มาของแท้•ความสมบูรณ์ของข้อมูล– ประกันว่า ข้อมูลไม่ได้ถูกปรับเปลี่ยน•การรับรองความถูกต้องปฏิเสธการดำรงอยู่พัฒนาของ DNSSECลายเซ็นบันทึก•ใช้การเข้ารหัส public‐keyการตรวจสอบความถูกต้องของระเบียน DNS• RFC 2065 (1997): SIG และคีย์• 2535 RFC (1999): NXT คอร์ด – ปฏิเสธมีอยู่ของเรกคอร์ด• 2003: ระเบียน DS (การมอบหมายลงนาม)– ช่วยให้การมอบหมายปลอดภัยโซนเด็ก– พัฒนา NXT SIG คีย์ RRSIG, DNSKEY, NSEC254พัฒนาของ DNSSEC• RFC 3757 (2004)– คีย์ Zone‐Signing (ZSK)– Key‐Signing‐Key (แอปพลิเค)– จุดปลอดภัย (SEP)• A ธงที่ใช้ในการระบุเป็นแอปพลิเค• 2005– NSEC ถูกแทนที่ โดย NSEC3การโจมตีผู้ชายในตัวตรงกลางเซิร์ฟเวอร์การโจมตีเหยื่อผู้โจมตีสร้าง ke "เท็จ" t o – สองคู่คีย์ที่เป็นเท็จ– โจมตีดักคีย์แท้ และส่งคีย์ปลอมออก– ลูกค้าเชื่อถือข้อมูลของภัยคุกคาม•น่าเชื่อถือของบุคคลที่สามป้องกันการโจมตีนี้– รากของ DNSการมอบหมายระเบียนผู้ลงนาม (DS)•การเชื่อมโยงในห่วงโซ่ของความน่าเชื่อถือ• DS บันทึกประกอบด้วยแฮของโซนสาธารณะคีย์•จะทำให้ประสิทธิภาพการทำงานดี คีย์โซนอาจแบ่งออกเป็น-โซนคีย์ลง (ZSK) และ-คีย์คีย์ลง (แอปพลิเค)

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 2:[สำเนา]

คัดลอก!

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 3:[สำเนา]

คัดลอก!

วัตถุประสงค์ของ dnssec- ตรวจสอบข้อมูลความถูกต้องของกำเนิด- และความสมบูรณ์ของข้อมูลที่ได้รับจากซูจากเซิร์ฟเวอร์ DNS เผด็จการบริการทำโดยการบันทึกทรัพยากร ( RR ) ชุดและคีย์ส่วนตัว- และรวมถึงลายเซ็น ( rrsig ) กับบันทึกโซ่ของความไว้วางใจแต่ละตัวสามารถตรวจสอบ rrsig กับเซิร์ฟเวอร์กุญแจสาธารณะและเผยแพร่โดยเซิร์ฟเวอร์ในแฟ้มโซนของและรับรองโดยผู้ปกครอง โซนและรับรองโดยผู้ปกครอง . . . . . . .- ไม่เสียหายสาวขึ้นบริเวณราก- ทำงานเฉพาะถ้าสูงกว่าระดับ‐โซนจะลงนามปัญหา dnssec- การเปลี่ยนแปลงยังโปรโตคอล- บันทึกการยึดตัวเดียว ไม่ใช่การจราจรจากบริษัทไปยังลูกค้าอีกเหตุผลที่ไม่อนุญาตให้บริการ DNS ภายนอก8.8.8.8 เซิร์ฟเวอร์เช่น- เพื่อให้แก้ปัญหาการจราจรท้องถิ่นทำไมบริการ dnssec ถูกพัฒนาขึ้นภายใต้การอุปถัมภ์ของคณะทำงานเฉพาะกิจด้านวิศวกรรมอินเทอร์เน็ต ( IETF ) ที่อยู่ขาดความแข็งแรงรับรองใน DNSโปรโตคอล- ตามที่เราเห็นในส่วนก่อนหน้านี้ , บริษัทจะรับตอบแบบสอบถาม ถ้าการตอบสนองแพ็คเก็ตมีไม่กี่คาดองค์ประกอบในส่วนหัวของตน ;แหล่งที่อยู่ IP , DNS และพอร์ตปลายทางรายการรหัสของแพ็คเก็ตการตอบสนองส่วนหัววัตถุประสงค์ของ dnssecการตรวจสอบข้อมูลบริการของประเทศ- การประกันที่ร้องขอข้อมูลมาจากต้นฉบับของแท้- ความสมบูรณ์ของข้อมูลและรับประกันว่าข้อมูลไม่ได้ถูกเปลี่ยนแปลงบริการรับรองการปฏิเสธการดำรงอยู่การพัฒนา dnssecลายเซ็น - ‐การเข้ารหัสคีย์สาธารณะใช้บันทึกการตรวจสอบระเบียน DNS ของแท้- RFC 1799 ( 1997 ) : Sig และบันทึกคีย์- RFC 2535 ( 1999 ) : NXT ระเบียนและปฏิเสธการดำรงอยู่ของบันทึก- 2003 : DS ( ผู้แทนลงนาม ) บันทึกช่วยให้ปลอดภัยและคณะผู้แทนไปยังโซนเด็ก( SIG , คีย์ , NXT rrsig dnskey nsec , วิวัฒนาการ ,นี่การพัฒนา dnssec- RFC ผื่น ( 2004 )- โซน‐เซ็นคีย์ ( zsk )‐–กุญแจกุญแจเซ็นชื่อ‐ ( ksk )- การบันทึกจุด ( ก.ย. )- ธงที่ใช้เพื่อระบุ ksk- 2005- nsec nsec3 แทนโดยผู้ชายในการโจมตีกลางเหยื่อการโจมตีเซิร์ฟเวอร์โจมตีสร้าง T O " เท็จ " เค - องเท็จกุญแจคู่- โจมตีสกัดคีย์ของแท้และส่งกุญแจปลอมออก- ลูกค้าไว้ใจข้อมูลคนร้าย- ไว้ใจบุคคลที่สามป้องกันการโจมตีนี้และรากของ DNSผู้แทนลงนาม ( DS ) บันทึกการเชื่อมโยงบริการในห่วงโซ่ของความไว้วางใจ- DS บันทึกประกอบด้วยกัญชาของเขตสาธารณะคีย์- เพื่อให้ประสิทธิภาพที่ดีขึ้น , โซนหลักอาจจะแบ่งออกเป็น- โซนเซ็นคีย์ ( zsk ) และคีย์ ( Key ) ลงนาม ksk )

การแปล กรุณารอสักครู่..

ภาษาอื่น ๆ

การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.