Межсетевое экранирование


              

в извлечении соответствующего секретного ключа,


Процесс верификации состоит в извлечении соответствующего секретного ключа, вычислении хэша от полученного сообщения и секретного ключа, и сравнении вычисленного хэша с полученным хэшем (в TSIG-записи). В процессе верификации name-сервер выполняет следующие проверки:

  • проверяется, что сообщение получено из аутентичного источника (с которым он разделяет общий секретный ключ);
  • проверяется, что сообщение не было изменено при пересылке (по равенству хэш-значений).


В BIND версии 8.2 были впервые введены возможности TSIG, но полностью TSIG был реализован только в BIND 9.х. Поддержка в BIND 9.х возможностей TSIG обеспечена и для транзакций зонных пересылок, и для транзакций динамического обновления.

Для того чтобы была возможность транзакциям DNS использовать TSIG, необходимо, чтобы в окружении были реализованы следующие операции:



  • системные часы name-серверов (первичного и вторичного), участвующих в DNS-транзакциях, должны быть синхронизованы (например, с помощью NTP);
  • должна существовать утилита генерации секретного ключа, которая может создавать ключи требуемой длины с достаточной энтропией. Файл ключа (файл, содержащий строку секретного ключа) должен быть безопасно передан двум серверам, участвующим в транзакции;


  • информация о ключе должна быть указана в конфигурационном файле с помощью соответствующих утверждений (например, утверждения key и утверждения server в конфигурационном файле named.conf BIND 9.х).



Содержание  Назад  Вперед