TSIG
A TSIG hálózati protokollt ( t ransaction sig jelleget vagy tranzakciós aláírást) az RFC 2845 írja le. Elsősorban a Domain Name System (DNS) használja arra, hogy hitelesítési formát nyújtson az adatok dinamikus frissítéséhez. DNS-adatbázisok, bár lehet a szerverek között használatos lekérdezésekhez. A TSIG megosztott titkot és egyirányú hash függvényt használ a titkosítás révén a biztonság egy formájának biztosítására, hogy a kapcsolat mindkét végét azonosítsa DNS-frissítési kérelem létrehozására vagy válaszára.
Bár a DNS-lekérdezések lehetnek névtelenek (a DNSSEC kivételével ), a DNS-frissítéseket hitelesíteni kell, mert megváltoztatják a hálózat (Internet vagy privát hálózat) névstruktúráját. Megosztott titok használata a frissítést végrehajtó kliens (szolga) és az azt biztosító DNS-kiszolgáló (master) között biztosítja az ügyfél hitelesítését. A frissítési kérelmet azonban nem biztonságos hálózaton (Interneten) keresztül is el lehet intézni. Az egyirányú hash függvény arra szolgál, hogy megakadályozza egy harmadik felet abban, hogy megismerje a kulcsot, ha meghallgatja a hálózati forgalmat, majd azt használja az ügyfél DNS-kiszolgálójának saját módosítására.
Időelem ( időbélyeg ) használata a protokollban lehetővé teszi az ismételt támadás elkerülését. Így a TSIG használatához szükség van a kiszolgálók szinkronizálására ugyanazon az időforráson. Például az NTP protokoll használata biztosítja ezt a szolgáltatást.
Végrehajtás
A DNS-frissítés ( RFC 2136) a DNS-kiszolgáló utasításkészlete. Tartalmaz egy fejlécet, a frissítendő területet, a teljesítendő előfeltételeket és a frissítendő rekordokat (RR). A TSIG hozzáad egy utolsó rekordot, amely tartalmazza az idő elemet ( időbélyeg ), a kérés kivonatát és a kérés aláírásához használt titkos kulcs nevét. Az RFC 2535 egy olyan nevet javasol, amelynek formátuma ajánlott.
A sikeres TSIG aláírt frissítés utáni választ egy TSIG rekorddal is aláírjuk. A hibákat nem írjuk alá, hogy megakadályozzuk a támadókat abban, hogy bármit is megtudjanak a kulcsról, külön erre a célra készített frissítési kérelmek segítségével.
Az nsupdate program lehetővé teszi a TSIG használatát a frissítések végrehajtásához. A dig programot lehetővé teszi, hogy TSIG elvégzésére hitelesített zóna kérések vagy transzferek .
A TSIG rekord ugyanabban a formátumban van, mint a frissítési kérelem többi rekordja. A mezők jelentését az RFC 1035 írja le .
TSIG rekord mezők
Mezők |
Bájt |
Leírás
|
---|
NÉV |
max 256 |
A TSIG kulcs neve, amelynek egyedinek kell lennie az ügyfél és a kiszolgáló között
|
TÍPUS |
2 |
TSIG (250)
|
OSZTÁLY |
2 |
MINDEN (255)
|
TTL |
4 |
0 (a TSIG rekordot nem szabad pufferolni ( gyorsítótár ))
|
HOSSZÚSÁG |
2 |
RDATA mező hossza
|
RDATA |
változó |
Az időelemből ( időbélyeg ), az algoritmusból és a kivonatból álló szerkezet.
|
A TSIG alternatívái
Bár a TSIG-t széles körben használják, ez a protokoll sok problémát vet fel:
- megköveteli a megosztott titok telepítését minden frissítésre szoruló kiszolgáló számára,
- a HMAC-MD5 hash csak 128 bit,
- nincs hierarchiája a hatóságokkal: minden titkos kulcs birtokában lévő ügyfél frissítheti a zóna bármely rekordját.
Így különféle alternatívák vagy kiterjesztések jelentek meg.
- Az RFC 2137 meghatározza a nyilvános kulcs használatával történő frissítési módszert a DNS-rekordspecifikus "GIS" -ben. A megfelelő magánkulccsal rendelkező ügyfél aláírhatja a frissítési kérelmeket. Ez a módszer kompatibilis a DNSSEC biztonságos kérési módszerével. Ezt a módszert azonban az RFC 3007 elavítja.
- Az RFC 3645 javasolja a TSIG kiterjesztését, hogy lehetővé tegye a titkos kulcscsere-módszer GSS használatát, így nincs szükség a kulcsok kézi telepítésére az összes TSIG-kliensen. A nyilvános kulcsok GSS-sel történő DNS-erőforrásrekordban (RR) történő terjesztésének módját az RFC 2930 határozza meg. A Windows Kerberos- on alapul egy módosított GSS-TSIG módszer, amelynek neve " Generic Security Service Algorithm for Shared Secret Exchanges " a titkos kulcs tranzakcióhoz ). " Biztonságos dinamikus frissítés" nevű kiszolgálót telepítették a Microsoft Windows Active Directory kiszolgálókban és kliensekben . Az RFC 1918 címzéssel fordított felbontás nélkül konfigurált DNS-sel kombinálva az ezt a hitelesítési rendszert használó DNS-kiszolgálók nagy mennyiségű lekérdezést irányítanak át a DNS- kiszolgálókra . Van egy anycast csoport, amely felelős a forgalom kezeléséért a root DNS-kiszolgálókon kívül.
- Az RFC 2845 TSIG bázis csak egyetlen kivonatolási funkciót engedélyez: a HMAC-MD5 már nem tekinthető nagyon robusztusnak. 2006-ban javaslatok születtek az SHA1 RFC 3174 használatának engedélyezésére az MD5 helyettesítésére. Az SHA1 által generált 160 bites összefoglalónak robusztusabbnak kell lennie, mint az MD5 által generált 128 bites emésztésnek.
- Az RFC 2930 meghatározza a TKEY számára a DNS-rekordok listáját, amelyek a kulcsok automatikus kiszolgálására szolgálnak a kiszolgálóról az ügyfeleknek.
- Az RFC 3645 meghatározza a GSS-TSIG-t a GSS-API és a TKEY használatával a kulcsok automatikus terjesztéséhez.
- A DNSCurve javaslat sok hasonlóságot mutat a TSIG-kel.
Lásd is
Megjegyzések és hivatkozások
-
(en) " titkos kulcs Tranzakció hitelesítése DNS (TSIG) " Request for Comments n o 2845,2000. május.
-
(in) " Dinamikus frissítések a Domain Name System (DNS UPDATE) " Request for Comments n o 21361997. április.
-
(in) " Domain Name System Security Extensions " Megjegyzések iránti kérelem, n o 25351999. március.
-
(in) " DOMAINNEVEK - alkalmazás és SPECIFIKÁCIÓ " Request for Comments n o 1035,1987. november.
-
(in) „ Biztonságos domain név rendszer dinamikus frissítése ” Megjegyzések iránti kérelem, n o 21371997. április.
-
(in) " Secure Domain Name System (DNS) Dynamic Update " Request for Comments n o 3007,2000. november.
-
(en) " Általános Biztonsági Szolgálat algoritmus titkos kulcs Tranzakció hitelesítése DNS (GSS-TSIG) " Request for Comments n o 3645,2003. október.
-
(en) " titkos kulcs létrehozása DNS (TKEY RR) " Request for Comments n o 2930,2000. szeptember.
-
(in) " cím kiosztása Private Internets " Request for Comments n o 19181996. február.
-
(en) Broido, Németh, piszkos. A DNS-frissítési forgalom spektroszkópiája , CAIDA, 2002
-
(en) [1]
-
(a) " US Secure Hash Algorithm 1 (SHA1) ," Request for Comments n o 3174,2001. szeptember.
Külső linkek
-
RFC 2136 dinamikus frissítések a tartománynév rendszerben (DNS-frissítések)
-
RFC 2845 titkos kulcsú tranzakció-hitelesítés a DNS-hez (TSIG)
-
RFC 2930 titkos kulcs létrehozása a DNS-hez (TKEY RR)
-
RFC 3645 általános biztonsági szolgáltatás-algoritmus a titkos kulcsú tranzakciók hitelesítéséhez a DNS-hez (GSS-TSIG)
-
RFC 3174 US Secure Hash algoritmus 1
-
RFC 4635 HMAC SHA TSIG algoritmus-azonosítók