DNSSEC 개요

Junos OS 디바이스는 DNSSEC(Domain Name Service Security Extensions) 표준을 지원합니다. DNSSEC는 공개 키 기반 서명을 사용하여 데이터에 대한 인증 및 무결성 확인을 제공하는 DNS의 확장입니다.

DNSSEC에서 DNS의 모든 리소스 레코드는 영역 소유자의 개인 키로 서명됩니다. DNS 해석기는 소유자의 퍼블릭 키를 사용하여 서명의 유효성을 검사합니다. 영역 소유자는 리소스 레코드 집합의 해시를 암호화하기 위해 개인 키를 생성합니다. 개인 키는 RRSIG 레코드에 저장됩니다. 해당 공개 키는 DNSKEY 레코드에 저장됩니다. 확인자는 공개 키를 사용하여 RRSIG의 암호를 해독하고 결과를 리소스 레코드의 해시와 비교하여 변경되지 않았는지 확인합니다.

마찬가지로 공용 DNSKEY의 해시는 부모 영역의 DS 레코드에 저장됩니다. 영역 소유자는 공개 키의 해시를 암호화하기 위해 개인 키를 생성합니다. 개인 키는 RRSIG 레코드에 저장됩니다. 확인자는 DS 레코드와 해당 RRSIG 레코드 및 공개 키를 검색합니다. 확인자는 공개 키를 사용하여 RRSIG 레코드의 암호를 해독하고 결과를 공개 DNSKEY의 해시와 비교하여 변경되지 않았는지 확인합니다. 이렇게 하면 확인자와 이름 서버 간에 신뢰 체인이 설정됩니다.