DNSSEC란?
DNSSEC (Domain Name System Security Extensions)는 디지털 서명을 추가하여 DNS 응답을 인증하는 DNS에 대한 암호화 확장 제품군이며 위조 또는 DNS 데이터를 조작하는 공격자를 방지합니다.DNSSEC가 작동하는 방법
Chain of Trust:
Root Zone (.)
├── Signs: .com zone key
│ └── KSK (Key Signing Key)
│ └── ZSK (Zone Signing Key)
│
TLD Zone (.com)
├── Signs: example.com zone key
│ └── DS Record points to child KSK
│
Domain Zone (example.com)
├── Signs: All DNS records
│ └── RRSIG (Record Signature)
│ └── DNSKEY (Public keys)
│
Resolver validates entire chain from root
DNSSEC 기록 유형
| 이름 * | 제품정보 | 이름 * |
|---|---|---|
| 사이트맵 | 주요특징 | 각 기록 세트에 대한 Cryptographic 서명 |
| DNS 키 | 공공 키 | Zone의 공개 서명 키 (KSK 및 ZSK) |
| 사이트맵 | 회사 소개 | 육아 지역의 KSK의 해시 |
| 사이트맵 | 인증된 Denial | 레코드가 존재하지 않습니다. |
핵심 유형
| 이름 * | 제품정보 | 회전 빈도 |
|---|---|---|
| KSK (키 서명 키) | DNSKEY 레코드 서명 | 연간 또는 더 적은 |
| ZSK (Zone 서명 키) | 다른 모든 기록 표시 | 월간 분기별 |
DNSSEC 검증 과정
1. example.com에 대한 클라이언트 쿼리 DNS 해결사 레코드
2. Resolver retrieves 레코드 + RRSIG 서명
3. RRSIG를 확인하는 해결자 fetches DNSKEY
4. DNSKEY에 대한 DS 레코드를 유효성 검사
5. 체인은 뿌리를 계속하고 각 수준의 검증
6. 모든 서명이 유효한 경우, 응답은 인증됩니다
위협 DNSSEC 방지
| 관련 기사 | 이름 * | DNSSEC 보호 |
|---|---|---|
| 캐시 중독 | false 레코드를 캐시로 주사 | 탬퍼링을 감지하는 서명 |
| 남자 - - - 미들 | 자주 묻는 질문 | Cryptographic 검증 실패 |
| DNS 스푸핑 | 가짜 IP 주소를 반환 | 위조된 기록 부족 유효한 서명 |
계획
- Performance: 서명으로 인한 더 큰 응답 (~1000-4000 바이트 대 ~100 바이트)
- 키 관리 : 보안 키 생성, 저장 및 교체 필요
- 지역 서명 : 기록이 변경될 때 다시 서명해야 합니다.
- Resolver 지원: 클라이언트는 DNSSEC 유효성 검사를 필요로 합니다
최고의 연습
1. 알고리즘 13 또는 14: ECDSA는 RSA보다 작은 서명을 제공합니다.
2. Automate 키 교체 : Key Lifecycle을 위한 OpenDNSSEC와 같은 도구 사용
3. Monitor expiration: RRSIG 서명은 유효 기간이 있습니다.
4. 배포 전에 테스트 : dnsviz.net와 같은 도구를 가진 유효 영역
5. 긴급 계획 : 키 롤오버 절차가 문서화되었습니다.
DNSSEC는 DNS 무결성에 대한 필수 보호를 제공하며 사용자가 공격자가 통제 된 서버보다 합법적 인 목적지에 도달합니다.