Descripción general de DNSSEC

Los dispositivos Junos OS admiten el estándar de extensiones de seguridad del servicio de nombres de dominio (DNSSEC). DNSSEC es una extensión de DNS que proporciona autenticación y verificación de integridad de datos mediante el uso de firmas basadas en clave pública.

En DNSSEC, todos los registros de recursos de un DNS se firman con la clave privada del propietario de la zona. La resolución DNS utiliza la clave pública del propietario para validar la firma. El propietario de la zona genera una clave privada para cifrar el hash de un conjunto de registros de recursos. La clave privada se almacena en el registro RRSIG. La clave pública correspondiente se almacena en el registro DNSKEY. El solucionador utiliza la clave pública para descifrar el RRSIG y compara el resultado con el hash del registro de recursos para comprobar que no se ha modificado.

Del mismo modo, el hash de la DNSKEY pública se almacena en un registro DS en una zona principal. El propietario de la zona genera una clave privada para cifrar el hash de la clave pública. La clave privada se almacena en el registro RRSIG. El solucionador recupera el registro DS y su registro RRSIG y clave pública correspondientes. Con la clave pública, el solucionador descifra el registro RRSIG y compara el resultado con el hash de la clave DNSKEY pública para comprobar que no se ha modificado. Esto establece una cadena de confianza entre el solucionador y los servidores de nombres.