Document 5026438

Дмитрий Филимонов
Системный инженер
Вебзавод
Microsoft TechDays
http://www.techdays.ru
Типовая DNS инфраструктура и
возможные угрозы
Использование DNSSEC
Реализация DNSSEC в Windows 7 и
Windows Server 2008 R2
Демонстрация
Microsoft TechDays
http://www.techdays.ru
Интернет
Сеть компании
DNS
серверы
Кэширующий
DNS
сервер
DNS
Server
Cache
DNS
Client
Cache
DNS
Server
Cache
DNS
серверы
Zones
1. Запрос к локальному DNS кэшу
2. Запрос к локальному DNS серверу
• DNS зоны сервера
• DNS кэш сервера
3. Переадресация запроса на
кэширующий DNS сервер
• DNS кэш сервера
4. Переадресация запроса на внешние
DNS серверы
Microsoft TechDays
http://www.techdays.ru
Интернет
Сеть компании
DNS
серверы
Кэширующий
DNS
сервер
DNS
Server
Cache
Атакующий
сервер
DNS
Client
Cache
DNS
Server
Cache
DNS
серверы
Zones
Microsoft TechDays
http://www.techdays.ru
1.
2.
3.
4.
UDP пакет
IP адреса отправки/назначения
Порты отправки/назначения
Transaction ID (XID) – случайное число (16 бит)
Microsoft TechDays
http://www.techdays.ru
Public DNS Server
Private key
Encrypt
DNS Answer
Signature
DNS Answer
Public key
Compare
DNS Answer

Decrypted
Signature
Decrypt
DNS Answer
Signature
Local DNS Server
Microsoft TechDays
http://www.techdays.ru
Name Resolution Policy Table (NRPT)
finance.contoso.com
Yes
DNS client
Query: A record for
finance.contoso.com
with DNSSEC
Suffix
DNSSEC
contoso.com
Yes
A record
Query: A record for
finance.contoso.com
with DNSSEC
 Conditional
forwarding for
contoso.com
 Trust Anchor for
contoso.com
A record
RRSIG Record
Local DNS
Server
ns1.contoso.com
Compare
Decrypted RRSIG
A record

Microsoft TechDays
http://www.techdays.ru
Microsoft TechDays
http://www.techdays.ru
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft TechDays
http://www.techdays.ru