DNSSEC Domain Name System Security Extensions (Extensiones de seguridad para el sistema de nombre de dominios) Su objetivo principal es la protección de corrupción y spoofing de datos, asegura cierto tipo de información del DNS como son algunos elementos de la composición de los paquetes del mismo. Este tipo de servicio provee a los clientes de validar la autenticación de quien origina la respuesta a una consulta DNS, indicación autenticada de la no existencia de información para los datos solicitados y de la integridad de los datos transferidos. Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una zona DNS: • DNSKEY/RRSIG/NSEC Proporciona un mecanismo para delegar la confianza en ciertas claves públicas (cadena de confianza): • DS Proporciona un mecanismo para autenticar las transferencias de zona entre primarios y secundarios: • TSIG Dado que no es un protocolo nuevo y solo es un conjunto de extensiones presenta cambios en el Write Protocol (EDNSO) como es la extensión del tamaño máximo de una respuesta UDP de 512 a 4096 bytes, Agregado de nuevos resource record: RRSIG: Resource Record Signature DNSKEY: DNS Public Key D: Delegation Signer NSEC: Next Secure Agregado de nuevos flags : • Checking Disabled (CD): indica que no se realiza chequeo. • Authenticated Data (AD): indica que la respuesta esta autenticada. Un resource record en DNS es una tupla de cinco valores: nombre, clase, tipo, TTL, valor, por ejemplo, el registro www.empresa.com. 86400 IN A 200.40.100.141 esta representado por la tupla: • Nombre (www.empresa.com) • Clase (IN) • Tipo (A) • TTL (86400 segundos) • Valor (200.40.100.141) Un DNSSEC opera firmando RRSets y no RR individuales, donde un RRSet es un conjunto de RR que comparten igual clase, tipo y nombre. Ejemplo de RRSet con TTL omitido: •www IN A 200.40.241.100 • www IN A 200.40.241.101
Firmas de zona