Безопасность DNS Query/Response

Динамические обновления в поддерживающей DNSSEC-зоне

Напомним возможные операции над зонным файлом при выполнении динамических обновлений. Можно считать, что имеются две основные операции: добавление ресурсных записей и их удаление. Обновление можно рассматривать как комбинацию из операций добавления и удаления. В небезопасной зоне добавление и удаление ресурсных записей не вызывают никакой другой операции в оставшихся ресурсных записях в зонном файле. Однако в безопасной зоне существует NSEC -ресурсная запись (и соответствующая RRSIG -ресурсная запись) на каждую область в пространстве имен.

Имеется одна NSEC -ресурсная запись для каждого уникального имени владельца в зоне. Данная NSEC -ресурсная запись указывает на следующее имя владельца в каноническом порядке (упорядоченность, полученная лексикографической сортировкой доменных имен внутри зоны). NSEC -ресурсная запись для последнего имени владельца в каноническом порядке указывает на имя корня зоны (другими словами, имя зоны). Следовательно, концептуально эти записи образуют циклический список, в котором перечислены уникальные доменные имена в зоне

Рассмотрим содержимое ресурсных записей NSEC для зоны example.ru. Предположим следующую каноническую упорядоченность доменных имен в зоне:

example.ru
	IN	SOA	 ns.example.ru admin.example.ru (12985 3600 2700 800 3600)
	IN	RRSIG ( SOA )
	IN	NS	 ns.example.ru.
	IN	RRSIG ( NS )
	IN	MX	 mail.example.ru.
	IN	RRSIG ( MX )
marketing.example.ru
	IN	A	192.253.101.9
	IN	RRSIG ( A )
	IN	MX	 mail.example.ru
	IN	RRSIG ( MX )
sales.example.ru
	IN	NS	 ns.example.ru.
	IN	RRSIG ( NS )
www.exapmle.ru
	IN	A	 192.253.101.10
	IN	RRSIG ( A )

Псевдоформат (содержащий только информационные поля) NSEC -ресурсных записей, который охватывает интервалы пространства имен, относящиеся к доменным именам и типам ресурсных записей, что находятся в каждом имени в зонном файле, является следующим (ниже приведены четыре ресурсных записи NSEC ):

example.ru	IN	NSEC	marketing.example.ru	(SOA NS MX RRSIG NSEC)
marketing.example.ru	IN	NSEC	sales.example.ru	(A MX RRSIG NSEC)
sales.example.ru	IN	NSEC	www.example.ru	(NS RRSIG NSEC)
www.example.ru	IN	NSEC	example.ru	(A RRSIG NSEC)

Заметим, что существует столько NSEC -ресурсных записей, сколько уникальных доменных имен в зоне. NSEC -ресурсная запись, чье имя есть example.ru, ссылается на следующий домен в каноническом порядке (например, marketing.example.ru ). То же самое выполняется для NS-ресурсных записей, относящихся к доменам marketing.example.ru и sales.example.ru. NSEC -ресурсная запись, относящаяся к последнему доменному имени (т.е, www.example.ru ), ссылается на первое доменное имя в зоне (т.е. example.ru ).

Когда получен запрос для " package.example.ru IN A " (т.е. запрос для зоны, которой не существует), авторитетный сервер отвечает NSEC множеством ресурсных записей, доказывая, что имя не существует в зоне. В данном случае ответ от сервера будет состоять из обычного DNS-ответа, указывающего, что имя не существует, и следующей информации:

• marketing.example.ru. NSEC ресурсная запись, указывающая, что не существует авторитетных имен между marketing.example.ru. и sales.example.ru.
• www.example.ru. NSEC -ресурсная запись (последний домен в зоне), доказывающая, что не существует расширений имен в формате wildcard в зоне, которые могут быть расширены таким образом, чтобы соответствовать запросу;
• Сопутствующие RRSIG -ресурсные записи для каждой из вышеупомянутых NSEC -записей, используемые для аутентификации.

Модификации NSEC -ресурсных записей, выполняется при следующих операциях:

• добавление нового типа ресурсной записи в существующий домен;
• удаление некоторого типа ресурсной записи из существующего домена;
• добавление нового имени домена в зону;
• удаление имени домена из зоны.

Добавление нового типа ресурсной записи в существующий домен

Предположим, что новый почтовый хост добавлен в домен www.example.ru. Такое изменение требует добавления MX-ресурсной записи к данному имени домена. Следовательно, NSEC -ресурсная запись для www.example.ru должна быть модифицирована следующим образом:

www.example.ru	IN	NSEC	example.ru	( A MX RRSIG NSEC )

Удаление некоторого типа ресурсной записи из существующего домена

Предположим, что предприятие example.ru решило, что больше не требуется отдельного почтового сервера для сотрудников отдела маркетинга. Такое изменение требует удаления почтового сервера ( RRType = MX ) из домена marketing.example.ru. Модифицированная NSEC -ресурсная запись теперь выглядит следующим образом:

marketing.example.ru	IN	NSEC	sales.example.ru	(A RRSIG NSEC)

Добавление нового имени домена в зону

Чтобы заказчики могли работать в режиме on-line, предприятие решило добавить отдельный домен websales.example.ru. Также был добавлен отдельный name-сервер и множество новых хостов. Этот новый домен требует следующих изменений в зонном файле:

• Добавление NSEC -ресурсной записи для нового домена. В этом случае должна быть добавлена NSEC -ресурсная запись для доменного имени websales.example.ru и должно быть определено ее расположение в каноническом порядке. Данная NSEC -ресурсная запись должна быть вставлена таким образом, чтобы указывать на следующее доменное имя в новом каноническом порядке. Добавляемый name-сервер и существовавшие ранее хосты должны отображаться в этой новой ресурсной записи посредством того, что NS и А указываются в поле списка типов ресурсных записей, как показано ниже. Соответствующая RRSIG -ресурсная запись должна быть создана.

  websales.example.ru	IN	NSEC	www.example.ru (A NS RRSIG NSEC)

• NSEC -ресурсная запись, относящаяся к домену, непосредственно предшествующая добавленному домену (в каноническом порядке) должна быть модифицирована таким образом, чтобы указывать на только что добавленный домен. NSEC -ресурсная запись должна теперь указывать на домен websales.example.ru.

  sales.example.ru	IN	NSEC	websales.example.ru (A RRSIG NSEC)
• Создается новая ресурсная запись для подписи (RRSIG-ресурсная запись), соответствующая данному модифицированному NSEC -множеству ресурсных записей.

Удаление домена из зоны

Предположим, предприятие решило, что все продажи теперь будут осуществляться только через Интернет. Так как хосты были созданы для выполнения данной функции в новом домене websales.example.ru, хосты в домене sales.example.ru больше не нужны. Поэтому все ресурсные записи, принадлежащие домену, должны быть удалены из зоны. Данное изменение включает следующие операции:

• NSEC -ресурсная запись, соответствующая удаляемому домену, должна быть удалена, т.е. NSEC -ресурсная запись, относящаяся к домену sales.example.ru, удаляется;

• NSEC -ресурсная запись, относящаяся к домену, непосредственно предшествующему удаленному домену, модифицируется таким образом, чтобы указывать на домен, непосредственно следующий за удаленным доменом (т.е. запись должна указывать на ту, на которую указывала удаленная NSEC -ресурсная запись). В данном случае NSEC -ресурсная запись для marketing.example.ru должна указывать на домен websales.example.ru следующим образом:

  marketing.example.ru	IN	NSEC	websales.example.ru (A MX RRSIG NSEC)