DNSSEC

DNS 보안 확장(DNSSEC : DNS Security Extensions)

DNS 보안 확장(DNSSEC)는 DNS 프로토콜의 보안 강화를 목적으로 만들어진 확장 기능입니다.

1. DNSSEC 개요

• 종단-대-종단 보호에 사용
• 대응 지역 관리자가 생성하고 수신자의 리졸버 소프트웨어로 검증하는 디지털 서명으로 보호
• DNS 레코드가 쿼리의 출발지에 도달하기 전에 대응 영역 관리자로부터 온 DNS 레코드를 캐시하거나 라우팅하는 중간 네임 서버나 리졸버를 신뢰할 필요가 없음
• 새 자원 레코드 유형 집합과 기존 DNS 프로토콜의 수정 부분으로 구성

2. DNSSEC 운영

• 데이터 출처 인증(Data origin authentication): 정확한 출처에서 데이터가 왔는지를 확인
• 데이터 무결성 검증(Data integrity verification): RR의 콘텐츠가 수정되지 않았는지를 확인

3. DNSSEC에서 발신지 공개 키에 대한 신뢰

• 제3자나 제3자 체인을 통해서 이뤄지는 것이 아님

신뢰가 형성 되는 이유

• 신뢰된 영역부터 시작
• 페어런트가 연속해서 차일드의 공개 키 서명을 검증하는 방식으로 현재 응답의 출처까지 신뢰 체인을 구성함
  신뢰 닻
• 신뢰된 영역의 공개 키

4. DNSSEC 자원 레코드

• DNSKEY: 공개 키를 포함
• RRSIG: 자원 레코드 디지털 서명
• NSEC: 인증된 레코드 존재 거부
• DS: 대표 서명자

부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>