Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Introducción a DNSSEC

Los dispositivos de Junos OS admiten el estándar de extensiones de seguridad del servicio de nombres de dominio (DNSSEC). DNSSEC es una extensión de DNS que proporciona la comprobación de autenticación e integridad de los datos mediante el uso de firmas basadas en claves públicas.

En DNSSEC, todos los registros de recursos de un DNS se firman con la clave privada del propietario de la zona. La resolución DNS utiliza la clave pública del propietario para validar la firma. El propietario de la zona genera una clave privada para cifrar el hash de un conjunto de registros de recursos. La clave privada se almacena en el registro RRSIG. La clave pública correspondiente se almacena en el registro DNSKEY. El interpretador utiliza la clave pública para descifrar RRSIG y compara el resultado con el hash del registro del recurso para comprobar que no se ha modificado.

De manera similar, el hash de la DNSKEY pública se almacena en un registro DS en una zona principal. El propietario de la zona genera una clave privada para cifrar el hash de la clave pública. La clave privada se almacena en el registro RRSIG. La resolución recupera el registro DS y su registro RRSIG correspondiente y su clave pública. Con la clave pública, el interpretador descifra el registro RRSIG y compara el resultado con el hash de la DNSKEY pública para comprobar que no se ha modificado. Esto establece una cadena de confianza entre el interpretador y los servidores de nombres.