| Startuj z nami | Dodaj do ulubionych | Księga gości | Forum dyskusyjne | Chat | Blog | Newsletter | Powiadom znajomego | Poczta | Social Media | Słupsk TV |
Domeny Internetowe Słupsk Domeny Internetowe Słupsk Domeny Internetowe Słupsk Domeny Internetowe Słupsk Domeny Internetowe Słupsk


Domeny On-line Słupsk / Domeny On-line / DDNS DNSSEC


Domeny Internetowe Słupsk
Domeny Internetowe Słupsk


Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk

DDNS (ang. Dynamic Domain Name System, dynamiczny system nazw domenowych) – metoda, protokół lub usługa sieciowa, która umożliwia urządzeniom sieciowym, takim jak router bądź systemowi komputerowemu korzystającego ze stosu IP, zakomunikować w czasie rzeczywistym (ad-hoc) serwerowi nazw zmianę obecnej konfiguracji DNS w postaci skonfigurowanych domen, adresów oraz innych danych zamieszczonych w rekordach DNS.


Popularnym zastosowaniem DDNS jest umożliwienie bramce internetowej ze zmiennym adresem IP otrzymania stałej nazwy hosta, która jest rozwiązywana przez standardowe zapytania DNS aplikacji działających w sieci Internet.

Historia
W pierwotnej fazie Internetu (ARPANET, NSFNet) adresacja hostów w sieci była osiągana poprzez statyczne tablice translacyjne, które mapowały nazwę hosta do adresu IP. DNS wprowadził metodę automatycznego rozprowadzania tej samej informacji o adresie poprzez rekursywne zapytania do zdalnych baz danych, które były skonfigurowane dla poszczególnych sieci bądź domen.
Nawet takie udogodnienie jak DNS wciąż korzystało ze statycznych tablic na każdym z uczestniczących węzłów. Adres IP, któremu przypisano konkretny host, rzadko się zmieniał i mechanizm ten był wystarczający dla ówczesnych potrzeb. Jednakże gwałtowny rozwój Internetu i zwiększanie się liczby komputerów znacznie utrudniło administratorom śledzenie przydzielonych adresów IP i zarządzanie ich przestrzenią adresową.
Usługa DHCP umożliwiła przedsiębiorstwom i ISP przydzielanie adresów do komputerów w locie, z momentem ich uruchomienia. W dodatku pozwoliło to oszczędzić istniejącą przestrzeń adresów, ponieważ nie wszystkie urządzenia pracowały w tym samym czasie i adres mógł być przydzielony wedle zapotrzebowania. Ta możliwość wymagała, aby serwery DNS również były automatycznie aktualizowane.
Pierwsza implementacja dynamicznego DNS spełniała ten zamiar: Komputery (hosty) uzyskały możliwość powiadamiania właściwego serwera DNS o adresie, który otrzymały poprzez serwer DNS bądź poprzez autokonfigurację. Ta oparta na protokole metoda aktualizacji DNS została udokumentowana i ustandaryzowana w 1997 roku, w publikacji RFC 2136 ↓ i stała się standardową częścią protokołu DNS.
Błyskawiczny rozwój i powszechna dostępność Internetu u użytkowników domowych spowodowały niedobór istniejących adresów IP. DHCP stało się ważnym narzędziem dla ISP, by zarządzać przestrzenią adresową dla podłączania małych firm i użytkowników domowych za pomocą pojedynczych adresów IP za wykorzystaniem routera obsługującego NAT. Za takimi routerami (w sieci prywatnej) uzyskało się możliwość ponownego wykorzystania przestrzeni adresowej przeznaczonej dla takich celów (RFC 1918 ↓). Jednakże łamało to zasadę "end-to-end " internetowej architektury i potrzebne stały się metody, które umożliwiały sieciom prywatnym maskaradę za często zmieniającym się adresem IP, aby poznać swój rutowalny adres 'zewnętrzny' i wprowadzić go do systemu DNS w celu pełniejszego uczestnictwa w komunikacji sieciowej. Obecnie wiele dostawców usług DDNS oferuje taką technologię i usługi w Internecie.

Zastosowanie
Dostawcy DDNS udostępniają oprogramowanie klienckie, które automatyzuje proces wykrywania i rejestracji publicznego IP klienta. Oprogramowanie to jest uruchamiane na komputerze bądź urządzeniu znajdującym się w sieci prywatnej. Łączy się ono z systemem dostawcy i powoduje połączenie wykrytego publicznego adresu IP sieci domowej z odpowiednią nazwą hosta w systemie DNS. W zależności od dostawcy, nazwa hosta zostaje zarejestrowana w domenie będącej własnością dostawcy, bądź we własnej domenie będącej własnością klienta. Zwykle oprogramowanie to wykorzystuje protokół HTTP, ponieważ jest on z reguły obsługiwany nawet w najbardziej restrykcyjnych środowiskach. Ta grupa usług jest najczęściej kojarzona z terminem Dynamic DNS, aczkolwiek nie wykorzystuje się tu standaryzowanej metody DNS Update. Jednakże metoda ta może być wykorzystywana w systemach dostawców.
Większość dzisiejszych routerów stosowanych w sieci domowej posiada tę właściwość wbudowaną w swój firmware. Jednym z pierwszych routerów, które obsługiwały DDNS, był UMAX UGate-3000 w 1999 roku, który obsługiwał usługę DDNS sieci TZO.COM.
Przykładem zastosowania może być użytkownik domowy, który chciałby korzystać ze swojej domowej sieci podczas podróży. Może on mieć przyznany adres IP, który ulega zmianie za każdym razem, kiedy jest ustanawiane nowe połączenie. Nie ma zatem stałego adresu, z którym mógłby się on połączyć. Jeśli usługa DDNS zostaje wykorzystana do przydzielenia stałego adresu do urządzenia sieciowego, to użytkownik będzie w stanie, przykładowo, nawiązać połączenie VPN do swojej sieci za pomocą stałego adresu. Konkretnym przykładem może być adres IP, który jednego dnia wynosi 123.234.111.112, drugiego zaś 123.124.45.16, podczas gdy adres DDNS będzie zawsze, na przykład, mojdom.ddns.org. Program służący do zdalnego dostępu, taki jak serwer VNC może być uruchamiany na takim komputerze w sieci; użytkownik może wtedy połączyć się z nią za pomocą zastrzeżonego hasłem połączenia VPN do mojdom.ddns.org, a następnie połączyć się z komputerem za pomocą klienta VNC.
W sieciach Microsoft Windows, DDNS jest integralną częścią Active Directory, ponieważ kontroler domeny rejestruje swój rekord SRV w DNS, aby inne komputery w domenie mogły się z nimi połączyć.
Wzmożone starania co do zabezpieczania komunikacji w Internecie obejmują szyfrowanie wszystkich dynamicznych aktualizacji poprzez publiczny Internet, ponieważ publiczne usługi DDNS były coraz częściej atakowane. Standaryzowane metody w protokole DNSSEC takie jak TSIG (RFC 2845 ↓) zostały stworzone w celu zabezpieczenia aktualizacji DNS, nie są one jednak powszechnie używane. Microsoft stworzył alternatywę w postaci GSS-TSIG (RFC 3645 ↓) opartym na uwierzytelnianiu Kerberos.

DNSSEC (ang. DNS Security Extensions) – rozszerzenie systemu DNS mające na celu zwiększenie jego bezpieczeństwa. DNSSEC zapewnia uwierzytelnianie źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych.



Działanie
System DNSSEC sprawdza pochodzenie danych oraz ich integralność przy użyciu klucza publicznego i prywatnego. Serwer publikujący szyfruje (podpisuje) swoje dane za pomocą klucza prywatnego, które każdy może zweryfikować za pomocą jawnie dostępnego klucza publicznego. Aby zweryfikować autentyczność kluczy publicznych, serwery używają tzw. "łańcucha zaufania", czyli poprawność klucza może być poświadczona przez serwer nadrzędny (w hierarchii DNS). Serwer nazw sprawdzając autentyczność danych porównuje rekord DNSKEY z podpisem jego strefy nadrzędnej. Aby zweryfikować autentyczność klucza strefy nadrzędnej, trzeba się zwrócić do strefy nadrzędnej dla tej strefy itd., aż do domeny głównej. Dla danych DNS generuje się ich bezpieczny skrót używając algorytmów MD5 z RSA lub SHA-1 z DSA. Podpisy dołącza się do uwierzytelnienia danych jako rekordy RRSIG.
Do 2008 roku specyfikacja DNSSEC wymagała ujawnienia wszystkich podpisywanych domen. W nowej specyfikacji wprowadzono mechanizm NSEC3, który miał ten problem rozwiązać. W praktyce jednak możliwe jest jego złamanie.

Dodatkowe elementy wprowadzone przez DNSSEC
Protokół DNSSEC wprowadza do systemu DNS rekordy, które zapewniają jego bezpieczeństwo:
- klucz publiczny DNSKEY – sprawdza podpisy paczek RRset,
- rekord NSEC (Next Secure) – zapewnia spójność danych strefy i umożliwia sprawdzenie informacji, czy istnieje rekord lub o braku zabezpieczeń,
- rekord RRSIG (Resource Record Signature) – zawiera podpis zestawu rekordów RRset,
- rekord DS (Delegation Signer) – wskazuje klucz KSK (Key Signing Key), podpisujący klucz ZSK (Zone Signing Key) strefy podrzędnej.

Protokół DNSsec wprowadza nowe bity nagłówka komunikatu systemu DNS:
- DO (DNSSEC OK) – resolver obsługuje DNSSEC
- AD (Authenticated Data) – dane autentyczne, bit ten informuje, że dane zostały sprawdzone,
- CD (Checking Disabled) – wyłączone sprawdzanie. Informuje serwer, że dane niesprawdzone będą akceptowane.


Domeny Internetowe Słupsk
Domeny Internetowe Słupsk


Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk
Domeny Internetowe Słupsk