Wat is DNSSEC
DNSSEC zijn DNS security extensions die ervoor zorgen dat DNS beveiligd is tegen allerlei attacks bij voorbeeld de Kaminsky attack https://www.youtube.com/watch?v=JIG0giryqqY.
Je hebt NSEC en NSEC3.
Deze twee werken allebei rond het principe dat ze een chain of trust maken. Zo kan een hacker niet voordoen als .BE DNS server. De parent zal altijd de trusted public key, die de parent ook gesigned heeft, geven van zijn children.
Bv ik zoek voor howest.be.
Comment
- Ik vraag aan .BE waar is Howest.be
- Hij antwoord a.b.c.d samen met de, door de .BE gesigned, public key van Howest.be
- .BE maakt een chain of trust door de public key van Howest.be te vertrouwen.
- Eenmaal de client dus een request stuurt naar a.b.c.d versleuteld met die public key kan slechts de enige echte server met de private key die decrypten en het echte antwoord sturen die dan weer versleuteld is.
Het is dus wel de bedoeling dat je de ROOT vertrouwt want de chain of trust moet volledig zijn. de root moet de TLD (bv .BE) vertrouwen maar ook .BE moet howest.be vertrouwen.
NSEC3 is nu de verbeterde versie van NSEC die ervoor zorgt dat de dns records hashed zijn zodat je geen zone walking kan doen.
