DNSにおける応答の正当性を保証するための拡張仕様で、サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改ざんを検出することができるようになります。
ディジタル署名によってDNS応答の正当性を確認できる。
DNSSECは、DNSのセキュリティ拡張方式で、DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組みです。
ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことが保証できます。
DNSキャッシュポイズニングの対策に有効です。
■DNSEXT(DNS Extensions)
DNSサーバへのDoS攻撃を防止できる。
■IPv6
IPsecによる暗号化通信が前提となっている。
■UnboundやNSD
代表的なDNSサーバの実装であるBINDの代替として使用する。
0 件のコメント:
コメントを投稿