DNS 보안 확장(DNSSEC : DNS Security Extensions)
DNS 보안 확장(DNSSEC)는 DNS 프로토콜의 보안 강화를 목적으로 만들어진 확장 기능입니다.
1. DNSSEC 개요
- 종단-대-종단 보호에 사용
- 대응 지역 관리자가 생성하고 수신자의 리졸버 소프트웨어로 검증하는 디지털 서명으로 보호
- DNS 레코드가 쿼리의 출발지에 도달하기 전에 대응 영역 관리자로부터 온 DNS 레코드를 캐시하거나 라우팅하는 중간 네임 서버나 리졸버를 신뢰할 필요가 없음
- 새 자원 레코드 유형 집합과 기존 DNS 프로토콜의 수정 부분으로 구성
2. DNSSEC 운영
- 데이터 출처 인증(Data origin authentication): 정확한 출처에서 데이터가 왔는지를 확인
- 데이터 무결성 검증(Data integrity verification): RR의 콘텐츠가 수정되지 않았는지를 확인
3. DNSSEC에서 발신지 공개 키에 대한 신뢰
- 제3자나 제3자 체인을 통해서 이뤄지는 것이 아님
신뢰가 형성 되는 이유
- 신뢰된 영역부터 시작
- 페어런트가 연속해서 차일드의 공개 키 서명을 검증하는 방식으로 현재 응답의 출처까지 신뢰 체인을 구성함
신뢰 닻 - 신뢰된 영역의 공개 키
4. DNSSEC 자원 레코드
- DNSKEY: 공개 키를 포함
- RRSIG: 자원 레코드 디지털 서명
- NSEC: 인증된 레코드 존재 거부
- DS: 대표 서명자
부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>
'Computer Science > Security' 카테고리의 다른 글
| 도메인 키 확인 메일 (0) | 2023.06.04 |
|---|---|
| SPF (0) | 2023.06.04 |
| Pretty Good Privacy (0) | 2023.06.03 |
| Secure MIME (0) | 2023.06.03 |
| 이메일 위협과 종합적 이메일 보안 (0) | 2023.06.03 |
