DNS 协议并不是设计用于为真实名称解析响应提供身份验证。各种尝试仿冒 Internet 资源的攻击类型在过去就利用了这种安全性不足。
DNSSEC 是一套 Internet 工程任务组 (IETF) 标准(RFC 4033、4034 和 4035),为作为网络流量发送或缓存的 DNS 数据提供以下操作:
来源身份验证:确认作为网络流量发送的响应源自预期的 DNS 服务器。
身份验证拒绝:响应为“找不到名称”,并且此响应由权威 DNS 服务器进行身份验证。
数据完整性:传输过程中没有修改响应。
DNSSEC 使用公钥加密提供这些安全服务。当 DNS 客户端发送 DNSSEC 特定的 DNS 名称查询时,响应包含伴随的数字签名。验证 DNS 解析程序是一个基于 Windows Server 2008 R2 的 DNS 服务器,使用预配置的信任锚(即权威 DNS 服务器的身份验证链中具有起始公钥的一台计算机)来验证签名。
有关 DNSSEC 工作原理的详细信息,请参阅附录 A:回顾关键 DNSSEC 概念。
有关在运行 Windows Server 2008 R2 的 DNS 服务器上部署 DNSSEC 的信息,请参阅安全 DNS 部署指南。
配置 DNS 客户端服务使用 DNSSEC
您可以使用 NRPT 为 Windows 7 和 Windows Server 2008 R2 中的 DNS 客户端服务配置 DNSSEC 行为。有关详细信息,请参阅本文的 NRPT 部分:
图 3 显示了 NRPT 规则中 DNSSEC 的配置设置。
图 3 启用 NRPT 规则中的 DNSSEC。
对于 NRPT 规则定义的 DNS 命名空间的指定部分,通过“启用此规则中的 DNSSEC”启用 DNSSEC。然后,可以通过“要求 DNS 客户端检查名称和地址数据是否已验证”来要求进行验证。
您也可以指定 DNS 客户端通过“在 DNS 客户端和 DNS 服务器之间的通信中使用 IPSec”来保护其自身与 DNS 服务器之间的流量,然后指定保护类型。在“证书颁发机构”中执行 IPsec 身份验证时(请参阅图 2),您还可以指定证书颁发机构 (CA),DNS 客户端将接受其颁发的证书。