4033: ГОСТ ISO 4033-2014 Гайки шестигранные высокие (тип 2). Классы точности А и В, ГОСТ от 13 июля 2015 года №ISO 4033-2014

Сетевая рабочая группа Р.Арендс
Запрос комментариев: 4033 Telematica Instituut
Устаревшие: 2535, 3008, 3090, 3445, 3655, 3658, R. Austein
           3755, 3757, 3845 ISC
Обновления: 1034, 1035, 2136, 2181, 2308, 3225, M. Larson
         3007, 3597, 3226 VeriSign
Категория: Стандарты Track D. Massey
                                               Государственный университет Колорадо
                                                                 С.Роза
                                                                    NIST
                                                              Март 2005 г.


               Введение в безопасность DNS и требования

Статус этой памятки

   Этот документ определяет протокол отслеживания стандартов Интернета для
   Интернет-сообщество и просит обсуждения и предложения по
   улучшения. См. Текущую редакцию "Интернет
   Официальные стандарты протокола »(STD 1) для состояния стандартизации
   и статус этого протокола.Распространение этой памятки не ограничено.

Уведомление об авторских правах

   Авторские права (C) The Internet Society (2005).

Абстрактный

   Расширения безопасности системы доменных имен (DNSSEC) добавляют источник данных
   аутентификация и целостность данных в Системе доменных имен. Этот
   документ представляет эти расширения и описывает их возможности
   и ограничения. В этом документе также обсуждаются услуги, которые
   Расширения безопасности DNS предоставляют и не предоставляют. Наконец, этот документ
   описывает взаимосвязь между документами, которые
   в совокупности описывают DNSSEC.Арендс и др. Стандарты Track [Страница 1] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


Оглавление

   1. Введение . . . . . . . . . . . . . . . . . . . . . . . . 2
   2. Определения важных терминов DNSSEC. . . . . . . . . . . 3
   3. Услуги, предоставляемые службой безопасности DNS.  . . . . . . . . . . . . 7
       3.1. Аутентификация источника данных и целостность данных. . . . 7
       3.2. Подтверждение отсутствия имени и типа. . . . . . 9
   4. Услуги, не предоставляемые службой безопасности DNS. . . . . . . . . . . 9
   5. Объем набора документов DNSSEC и вопросы последнего перехода. . . . 9
   6. Соображения по поводу резольвера. . . . . . . . . . . . . . . . . . 10
   7. Соображения по поводу заглушки. . . . . . . . . . . . . . . . 11
   8. Зональные соображения. . . . . . . . . . . . . . . . . . . . 12
       8.1. Значения TTL в зависимости от срока действия RRSIG. . . . . . . . . 13
       8.2. Новые проблемы временной зависимости для зон. . . . . . . 13
   9. Замечания по серверу имен. . . . . . . . . . . . . . . . . 13
   10. Семейство защитных документов DNS. . . . . . . . . . . . . . . . 14
   11. Соображения IANA. . . . . . . . . . . . . . . . . . . . 15
   12. Соображения безопасности. . . . . . . . . . . . . . . . . . 15
   13. Благодарности. . . . . . . . . . . . . . . . . . . . . . 17
   14. Список литературы. . . . . . . . . . . . . . . . . . . . . . . . . 17
       14.1. Нормативные ссылки. . . . . . . . . . . . . . . . . 17
       14.2. Информативные ссылки. . . . . . . . . . . . . . . . 18
   Адреса авторов. . . . . . . . . . . . . . . . . . . . . . . 20
   Полное заявление об авторских правах. . . . . . . . . . . . . . . . . . . . 21 год

1. Введение

   В этом документе представлены расширения безопасности системы доменных имен.
   (DNSSEC). Этот документ и два сопровождающих его документа ([RFC4034]
   и [RFC4035]) обновляют, уточняют и уточняют расширения безопасности.
   определено в [RFC2535] и его предшественниках.Эти расширения безопасности
   состоит из набора новых типов записей ресурсов и модификаций
   существующий протокол DNS ([RFC1035]). Новые рекорды и протокол
   модификации не полностью описаны в этом документе, но
   описаны в группе документов, указанных в Разделе 10. Разделы
   3 и 4 описывают возможности и ограничения безопасности. 
   расширения более подробно. В разделе 5 обсуждается объем
   набор документов. В разделах 6, 7, 8 и 9 обсуждается влияние этих
   расширения безопасности будут на резолверах, заглушках, зонах,
   и серверы имен.Этот документ и два сопровождающих его устарели [RFC2535], [RFC3008],
   [RFC3090], [RFC3445], [RFC3655], [RFC3658], [RFC3755], [RFC3757] и
   [RFC3845]. Этот набор документов также обновляется, но не устарел.
   [RFC1034], [RFC1035], [RFC2136], [RFC2181], [RFC2308], [RFC3225],
   [RFC3007], [RFC3597] и части [RFC3226], касающиеся
   DNSSEC.




Арендс и др. Стандарты Track [Страница 2] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   Расширения безопасности DNS обеспечивают аутентификацию источника и
   защита целостности данных DNS, а также средство открытого ключа
   распределение.Эти расширения не обеспечивают конфиденциальности.

2. Определения важных терминов DNSSEC

   В этом разделе определяется ряд терминов, используемых в этом наборе документов.
   Поскольку это предназначено для использования в качестве справки при чтении
   остальную часть набора документов, начинающие читатели могут пожелать просмотреть
   этот раздел быстро, прочтите остальную часть этого документа, а затем переходите
   вернуться в этот раздел.

   Цепочка аутентификации: чередующаяся последовательность открытого ключа DNS.
      (DNSKEY) RRsets и RRsets лица, подписывающего делегирование (DS), формируют цепочку
      подписанные данные, при этом каждое звено в цепочке ручается за следующее.А
      DNSKEY RR используется для проверки подписи, покрывающей DS RR и
      позволяет аутентифицировать DS RR. DS RR содержит хэш
      другого DNSKEY RR, и этот новый DNSKEY RR аутентифицируется
      соответствие хешу в DS RR. Этот новый DNSKEY RR в свою очередь
      аутентифицирует другой набор DNSKEY RRset и, в свою очередь, некоторый DNSKEY RR в
      этот набор может использоваться для аутентификации другой записи DS RR и т. д. 
      пока цепочка, наконец, не закончится DNSKEY RR, соответствующий
      закрытый ключ подписывает желаемые данные DNS.Например, корень
      DNSKEY RRset может использоваться для аутентификации DS RRset для
      "пример." Пример." DS RRset содержит хэш, соответствующий
      какой-то "пример". DNSKEY и соответствующий частный
      ключевые знаки "пример". DNSKEY RRset. Аналоги закрытого ключа
      из «примера». DNSKEY RRset подписывает записи данных, такие как
      "www.example." и DS RR для делегаций, таких как
      "subzone.example."

   Ключ аутентификации: открытый ключ, который есть у распознавателя с учетом безопасности.
      проверены и поэтому могут использоваться для аутентификации данных.А
      распознаватель с поддержкой безопасности может получить ключи аутентификации за три
      способами. Во-первых, преобразователь обычно настроен так, чтобы знать о
      хотя бы один открытый ключ; эти настроенные данные обычно либо
      сам открытый ключ или хеш открытого ключа, найденный в
      DS RR (см. «Якорь доверия»). Во-вторых, распознаватель может использовать
      аутентифицированный открытый ключ для проверки DS RR и DNSKEY RR для
      который относится к DS RR. В-третьих, распознаватель может
      определить, что новый открытый ключ был подписан закрытым ключом
      соответствует другому открытому ключу, который есть у распознавателя
      проверено.Обратите внимание, что распознаватель всегда должен руководствоваться местными
      политика при принятии решения об аутентификации нового открытого ключа,
      даже если локальная политика заключается в простой аутентификации любого нового общедоступного
      ключ, для которого распознаватель может проверить подпись.





Арендс и др. Стандарты Track [Страница 3] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   Авторитетный RRset: в контексте определенной зоны
      RRset является "авторитетным" тогда и только тогда, когда имя владельца
      RRset находится в подмножестве пространства имен, которое находится на уровне или ниже
      вершина зоны и на или выше разрезов, которые отделяют зону от
      его дети, если таковые имеются. Все RRset в вершине зоны
      полномочные, за исключением определенных RRset в этом доменном имени, которые,
      если есть, принадлежат к родительской зоне. Эти RRset могли
      включить DS RRset, NSEC RRset ссылается на этот DS RRset (
      "родительский NSEC") и записи RRSIG RR, связанные с этими наборами RR, все
      из которых являются авторитетными в родительской зоне. Аналогично, если это
      зона содержит любые точки делегирования, только родительский NSEC RRset,
      Наборы DS RR и любые записи RRSIG, связанные с этими наборами RR
      авторитетный для этой зоны.Пункт делегирования: термин, используемый для описания имени со стороны родителей.
      зоны среза. То есть точка делегирования для "foo.example"
      будет узлом foo.example в зоне "example" (в отличие от
      вершина зоны зоны "foo.example"). См. Также вершину зоны.

   Остров безопасности: термин, используемый для обозначения подписанной делегированной зоны.
      который не имеет цепочки аутентификации от его делегирования
      родитель. То есть нет DS RR, содержащего хеш DNSKEY.
      RR для острова в его делегирующей родительской зоне (см. [RFC4034]).Остров безопасности обслуживают серверы имен, поддерживающие безопасность, и
      может предоставлять цепочки аутентификации для любых делегированных дочерних зон.
      Ответы с острова безопасности или его потомков могут только
      быть аутентифицированным, если его ключи аутентификации могут быть аутентифицированы
      каким-либо надежным способом вне протокола DNS.

   Ключ подписи ключа (KSK): ключ аутентификации, который соответствует
      закрытый ключ, используемый для подписи одного или нескольких других ключей аутентификации для
      заданная зона.Обычно закрытый ключ, соответствующий ключу
      ключ подписи будет подписывать ключ подписи зоны, который, в свою очередь, имеет
      соответствующий закрытый ключ, который будет подписывать другие данные зоны. Местный
      политика может потребовать изменения ключа подписи зоны
      часто, в то время как ключ подписи ключа может иметь более длительный срок действия
      период, чтобы обеспечить более стабильную безопасную точку входа в
      зона.  Назначение ключа аутентификации как ключа подписи ключа
      чисто эксплуатационная проблема: проверка DNSSEC не
      различать ключи подписи ключей и другие DNSSEC
      ключи аутентификации, и можно использовать один ключ как
      как ключ подписи ключа, так и ключ подписи зоны.Ключи для подписи ключей
      более подробно обсуждаются в [RFC3757]. Также см. Подпись зоны
      ключ.







Арендс и др. Стандарты Track [Страница 4] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   Non-Validating Security-Aware Stub Resolver: Заглушка, ориентированная на безопасность
      преобразователь, который доверяет одному или нескольким рекурсивным именам с учетом требований безопасности
      серверы для выполнения большинства задач, обсуждаемых в этом документе
      установлен от его имени.В частности, не проверяющий безопасность
      преобразователь заглушек - это объект, который отправляет DNS-запросы, получает DNS
      ответы, и способен установить надлежащим образом защищенный
      канал к безопасному рекурсивному серверу имен, который будет
      предоставлять эти услуги от имени заглушки, связанной с безопасностью
      резолвер. См. Также распознаватель заглушек с учетом безопасности, проверка
      распознаватель заглушек с учетом безопасности.

   Непроверяющий преобразователь заглушек: менее утомительный термин для
      непроверяющий преобразователь заглушек с учетом безопасности.Сервер имен с учетом безопасности: объект, действующий в роли имени.
      сервер (определенный в разделе 2.4 [RFC1034]), который понимает
      Расширения безопасности DNS, определенные в этом наборе документов. В
      В частности, сервер имен с учетом требований безопасности - это объект, который
      получает запросы DNS, отправляет ответы DNS, поддерживает EDNS0
      ([RFC2671]) расширение размера сообщения и бит DO ([RFC3225]), а также
      поддерживает типы RR и биты заголовка сообщения, определенные в этом
      набор документов. Рекурсивный сервер имен с учетом безопасности: объект, который действует как в
      роли сервера имен и распознавателя, учитывающие безопасность. А
      более громоздкой, но эквивалентной фразой было бы "заботящийся о безопасности
      сервер имен, предлагающий рекурсивный сервис ».

   Security-Aware Resolver: сущность, выступающая в роли распознавателя.
      (определено в разделе 2.4 [RFC1034]), который понимает DNS
      расширения безопасности, определенные в этом наборе документов. Особенно,
      распознаватель с учетом безопасности - это объект, который отправляет DNS-запросы,
      получает ответы DNS, поддерживает сообщение EDNS0 ([RFC2671])
      расширение размера и бит DO ([RFC3225]) и может использовать
      типы RR и биты заголовка сообщения, определенные в этом наборе документов
      для предоставления услуг DNSSEC.Security-Aware Stub Resolver: объект, действующий в роли заглушки.
      преобразователь (определенный в разделе 5.3.1 [RFC1034]), у которого достаточно
      понимания расширений безопасности DNS, определенных в этом
      набор документов для предоставления дополнительных услуг, недоступных из
      не обращающий внимания на безопасность преобразователь заглушек. Решатели заглушек с учетом безопасности
      может быть либо «подтверждающим», либо «непроверяющим», в зависимости от
      пытается ли преобразователь заглушки проверить подписи DNSSEC на
      собственный или доверяет это дружественному серверу имен, поддерживающему безопасность.См. Также проверку правильности преобразователя заглушек, непроверяющего преобразователя заглушек.





Арендс и др. Стандарты Track [Страница 5] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   Security-Oblivious <что-нибудь>: <что-нибудь>, что не
      "осведомленный о безопасности".

   Подписанная зона: зона, чьи RRset подписаны и которая содержит
      правильно построенный DNSKEY, подпись записи ресурса (RRSIG),
      Следующие безопасные (NSEC) и (необязательно) записи DS. Якорь доверия: настроенный хэш DNSKEY RR или DS RR для DNSKEY RR. А
      при проверке безопасности распознаватель использует этот открытый ключ или хэш как
      отправная точка для построения цепочки аутентификации к подписанному
      Ответ DNS. В общем, проверяющий преобразователь должен
      получить начальные значения своих якорей доверия через какой-нибудь безопасный или
      доверенные средства вне протокола DNS. Наличие доверия
      якорь также подразумевает, что распознаватель должен ожидать, что зона
      которые точки привязки доверия должны быть подписаны.Беззнаковая зона: зона без подписи.

   Проверка распознавания заглушек с учетом безопасности: распознаватель с учетом безопасности
      который отправляет запросы в рекурсивном режиме, но выполняет подпись
      проверка сама по себе, а не слепое доверие
      вышестоящий рекурсивный сервер имен с учетом безопасности. Смотрите также
      распознаватель заглушек с учетом безопасности, непроверяющий заглушки с учетом безопасности
      резолвер.

   Проверка резолвера заглушек: менее утомительный термин для проверки
      распознаватель заглушек с учетом безопасности.Вершина зоны: термин, используемый для описания имени со стороны ребенка
      зона среза. См. Также пункт делегирования.

   Ключ подписи зоны (ZSK): ключ аутентификации, соответствующий
      закрытый ключ, используемый для подписи зоны. Обычно ключ подписи зоны
      будет частью того же набора DNSKEY RRset, что и ключ подписи ключа,
      соответствующий закрытый ключ подписывает этот набор DNSKEY RRset, но зона
      ключ подписи используется для немного другой цели и может
      отличаются от ключа подписи ключа другими способами, такими как срок действия
      продолжительность жизни.Назначение ключа аутентификации как ключа подписи зоны
      это чисто оперативный вопрос; Проверка DNSSEC не
      различать ключи подписи зоны и другие DNSSEC
      ключи аутентификации, и можно использовать один ключ как
      как ключ подписи ключа, так и ключ подписи зоны.  См. Также ключ
      ключ подписи.








Арендс и др. Стандарты Track [Страница 6] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


3.Услуги, предоставляемые DNS Security

   Расширения безопасности системы доменных имен (DNS) обеспечивают происхождение
   услуги аутентификации и обеспечения целостности данных DNS,
   включая механизмы аутентифицированного отрицания существования DNS
   данные. Эти механизмы описаны ниже.

   Эти механизмы требуют изменений в протоколе DNS. DNSSEC добавляет
   четыре новых типа записей ресурсов: Подпись записи ресурса (RRSIG),
   Открытый ключ DNS (DNSKEY), лицо, подписывающее делегирование (DS), и Next Secure
   (NSEC).Он также добавляет два новых бита заголовка сообщения: Проверка отключена.
   (CD) и аутентифицированные данные (AD). Для поддержки более крупного DNS
   размеры сообщений, которые возникают в результате добавления записей DNSSEC RR, DNSSEC также
   требуется поддержка EDNS0 ([RFC2671]). Наконец, DNSSEC требует поддержки
   для бита заголовка DNSSEC OK (DO) EDNS ([RFC3225]), чтобы
   распознаватель с поддержкой безопасности может указывать в своих запросах, что он хочет
   получать записи DNSSEC в ответных сообщениях.

   Эти услуги защищают от большинства угроз доменному имени.
   Система описана в [RFC3833].См. Раздел 12 для
   обсуждение ограничений этих расширений.

3.1. Аутентификация источника данных и целостность данных

   DNSSEC обеспечивает аутентификацию путем криптографического связывания
   сгенерированные цифровые подписи с DNS RRsets. Эти цифровые
   подписи хранятся в новой записи ресурса, записи RRSIG.
   Как правило, это единственный закрытый ключ, который подписывает зону
   data, но возможно несколько ключей. Например, могут быть ключи
   для каждого из нескольких различных алгоритмов цифровой подписи.Если
   распознаватель с поддержкой безопасности надежно узнает открытый ключ зоны, он может
   аутентифицировать подписанные данные этой зоны. Важной концепцией DNSSEC является
   что ключ, который подписывает данные зоны, связан с зоной
   сам, а не с официальными серверами имен зоны.  (Общедоступный
   ключи для механизмов аутентификации транзакций DNS могут также появляться в
   зоны, как описано в [RFC2931], но сам DNSSEC занимается
   безопасность объекта данных DNS, а не безопасность канала DNS
   сделки.Ключи, связанные с безопасностью транзакции, могут быть
   хранятся в разных типах RR. Подробнее см. [RFC3755].)

   Определитель безопасности может узнать открытый ключ зоны либо с помощью
   наличие якоря доверия, настроенного в резолвере или обычным DNS
   разрешающая способность. Чтобы позволить последнее, открытые ключи хранятся в новом
   тип записи ресурса, DNSKEY RR. Обратите внимание, что закрытые ключи
   используемые для подписи данные зоны должны храниться в безопасности и храниться
   офлайн, когда это возможно. Надежное обнаружение открытого ключа через DNS
   разрешения, целевой ключ должен быть подписан либо
   настроенный ключ аутентификации или другой ключ, который был



Арендс и др.Стандарты Track [Страница 7] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   аутентифицирован ранее. Зона аутентификации распознавателей с учетом безопасности
   информации путем формирования цепочки аутентификации из недавно изученных
   открытый ключ обратно к ранее известному открытому ключу аутентификации,
   который, в свою очередь, либо был настроен в преобразователе, либо должен
   были изучены и проверены ранее. Следовательно, резольвер
   должен быть настроен хотя бы с одним якорем доверия.Если настроенный якорь доверия является ключом подписи зоны, он будет
   аутентифицировать связанную зону; если настроенный ключ является ключом
   ключ подписи, он будет аутентифицировать ключ подписи зоны. Если
   настроенный якорь доверия - это хэш ключа, а не ключ
   Самому преобразователю может потребоваться получить ключ через DNS-запрос. К
   помочь распознающим устройствам с учетом безопасности установить эту цепочку аутентификации,
   серверы имен с учетом безопасности пытаются отправить необходимую подпись (и)
   для аутентификации открытого ключа (ов) зоны в ответном сообщении DNS вместе с
   с самим открытым ключом, при условии, что в
   сообщение. Тип RR лица, подписывающего делегирование (DS), упрощает некоторые из
   административные задачи, связанные с подписанием делегаций через
   организационные границы. Набор DS RRset находится в делегации
   точка в родительской зоне и указывает открытый ключ (и), соответствующий
   к закрытому ключу (-ам), используемому для самоподписи DNSKEY RRset
   вершина делегированной дочерней зоны. Администратор детской зоны, в
   в свою очередь, использует закрытый ключ (ключи), соответствующий одному или нескольким из
   открытые ключи в этом DNSKEY RRset для подписи данных дочерней зоны.В
   поэтому типичная цепочка аутентификации
   DNSKEY -> [DS-> DNSKEY] * -> RRset, где "*" означает ноль или более
   DS-> DNSKEY subchains. DNSSEC позволяет более сложную аутентификацию
   цепочки, такие как дополнительные уровни DNSKEY RR, подписывающие другой DNSKEY
   RR в зоне.

   Решатель, поддерживающий безопасность, обычно создает эту аутентификацию.
   цепочка от корня иерархии DNS до конечных зон на основе
   на настроенном знании открытого ключа для рута. Местный
   политика, однако, может также разрешить распознавателю, учитывающему безопасность, использовать один
   или несколько настроенных открытых ключей (или хэшей открытых ключей), кроме
   открытый ключ корня, может не предоставлять сконфигурированные сведения о корне
   открытый ключ или может помешать преобразователю использовать определенные общедоступные
   ключи по произвольным причинам, даже если эти открытые ключи правильно
   подписано проверяемыми подписями.DNSSEC предоставляет механизмы
   который распознаватель с учетом безопасности может определить,
   подпись "действительна" в смысле DNSSEC. В финале
   анализ, однако, аутентификация как ключей DNS, так и данных - это вопрос
   локальной политики, которая может расширять или даже отменять протокол
   расширения, определенные в этом наборе документов. См. Дополнительную информацию в разделе 5.
   обсуждение.




Арендс и др. Стандарты Track [Страница 8] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г. 


3.2. Подтверждение отсутствия имени и типа

   Механизм безопасности, описанный в разделе 3.1, предоставляет только способ
   для подписания существующих RRset в зоне. Проблема предоставления отрицательного
   ответы с одинаковым уровнем аутентификации и целостности
   требует использования другого нового типа записи ресурса, NSEC
   записывать. Запись NSEC позволяет распознавателю с учетом безопасности
   подтвердить отрицательный ответ при отсутствии имени или типа
   с теми же механизмами, которые используются для аутентификации других ответов DNS.Использовать
   записей NSEC требует канонического представления и упорядочивания для
   доменные имена в зонах. Цепочки записей NSEC явно описывают
   пробелы или «пустое пространство» между доменными именами в зоне и списке
   типы RRset, присутствующие в существующих именах. Каждая запись NSEC
   подписаны и аутентифицированы с использованием механизмов, описанных в Разделе
   3.1.

4. Услуги, не предоставляемые службой безопасности DNS

   Первоначально DNS был разработан с предположением, что DNS будет
   возвращать один и тот же ответ на любой заданный запрос независимо от того, кто мог
   выдал запрос, и, таким образом, все данные в DNS видны.Соответственно, DNSSEC не предназначен для обеспечения конфиденциальности,
   списки контроля доступа или другие средства различения
   вопрошающие.

   DNSSEC не обеспечивает защиты от атак типа «отказ в обслуживании».
   Решающие преобразователи и серверы имен с учетом безопасности
   уязвимы для дополнительного класса атак типа "отказ в обслуживании", основанных на
   по криптографическим операциям. См. Подробности в разделе 12.

   Расширения безопасности DNS обеспечивают аутентификацию данных и источника.
   для данных DNS.Описанные выше механизмы не предназначены для
   защищать такие операции, как передача зон и динамическое обновление
   ([RFC2136], [RFC3007]). Схемы аутентификации сообщений, описанные в
   [RFC2845] и [RFC2931] касаются операций безопасности, относящихся к
   эти транзакции. 

5. Объем набора документов DNSSEC и вопросы последнего перехода

   Спецификация в этом наборе документов определяет поведение зоны
   подписывающие лица и серверы имен и преобразователи, обеспечивающие безопасность, таким образом
   что проверяющие объекты могут однозначно определять состояние
   данные.Проверяющий преобразователь может определять следующие 4 состояния:

   Безопасность: проверяющий распознаватель имеет якорь доверия, имеет цепочку
      доверяет, и может проверить все подписи в ответе.



Арендс и др. Стандарты Track [Страница 9] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   Небезопасно: проверяющий распознаватель имеет якорь доверия, цепочку
      доверие, и, в какой-то момент делегирования, подписал доказательство
      отсутствие записи DS.Это указывает на то, что последующие
      ветви на дереве небезопасны. Проверяющий преобразователь
      может иметь локальную политику для пометки частей доменного пространства как
      ненадежный.

   Поддельный: проверяющий распознаватель имеет якорь доверия и безопасный
      делегирование, указывающее, что дополнительные данные подписаны, но
      ответ не может быть подтвержден по какой-то причине: отсутствуют подписи,
      подписи с истекшим сроком действия, подписи с неподдерживаемыми алгоритмами, данные
      отсутствует указание в соответствующем регламенте NSEC, и поэтому
      вперед.Неопределенный: не существует якоря доверия, которое указывало бы на то, что
      определенная часть дерева безопасна. Это по умолчанию
      режим работы.

   Эта спецификация только определяет, как серверы имен с учетом безопасности могут
   сигнализировать непроверяющим резолверам заглушек о том, что данные были признаны фальшивыми
   (с использованием RCODE = 2, «Отказ сервера»; см. [RFC4035]).

   Существует механизм, с помощью которого серверы имен, отвечающие за безопасность, сигнализируют
   распознаватели заглушек с учетом безопасности, что данные были признаны безопасными (с использованием
   бит AD; см.  [RFC4035]).Эта спецификация не определяет формат сообщения, почему
   ответы были признаны поддельными или помечены как небезопасные. Электрический ток
   сигнальный механизм не различает неопределенный и
   небезопасные состояния.

   Метод сигнализации расширенных кодов ошибок и политики между
   распознаватель заглушек с учетом безопасности и рекурсивные серверы имен с учетом безопасности
   это тема для будущей работы, как и интерфейс между
   осведомленный резолвер и приложения, которые его используют. Обратите внимание, однако, что
   отсутствие спецификации такой коммуникации не запрещает
   развертывание подписанных зон или развертывание системы безопасности
   рекурсивные серверы имен, которые запрещают распространение поддельных данных на
   Приложения.6. Соображения относительно резольвера

   Определитель безопасности должен иметь возможность выполнять криптографические
   функции, необходимые для проверки цифровых подписей с использованием как минимум
   обязательные для реализации алгоритмы. Решатели, поддерживающие безопасность, должны
   также иметь возможность формировать цепочку аутентификации из новых
   изученную зону обратно к ключу аутентификации, как описано выше. Этот
   процесс может потребовать дополнительных запросов к промежуточным зонам DNS для



Арендс и др. Стандарты Track [Страница 10] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   получить необходимые записи DNSKEY, DS и RRSIG.С заботой о безопасности
   преобразователь должен быть настроен по крайней мере с одним якорем доверия в качестве
   начальная точка, с которой он попытается установить аутентификацию
   цепи.

   Если распознаватель, поддерживающий безопасность, отделен от соответствующего
   авторитетные серверы имен рекурсивным сервером имен или любым другим способом
   промежуточного устройства, которое действует как прокси для DNS, и если
   рекурсивный сервер имен или промежуточное устройство не осведомлены о безопасности,
   распознаватель с учетом безопасности может не работать в
   безопасный режим. Например, если пакеты распознавателя с учетом безопасности
   маршрутизируется через устройство преобразования сетевых адресов (NAT), которое
   включает прокси-сервер DNS, который не учитывает безопасность,
   распознавателю может быть сложно или невозможно получить или проверить
   подписанные данные DNS. У распознавателя с учетом безопасности может быть особенно
   трудное время для получения DS RR в таком случае, поскольку DS RR не
   следуйте обычным правилам DNS для владения RR при разрезании зоны. Примечание
   что эта проблема не является специфической для NAT: любой DNS, не заботящийся о безопасности
   программного обеспечения любого типа между распознающим устройством, обеспечивающим безопасность, и
   авторитетные серверы имен будут мешать DNSSEC.Если распознаватель с учетом безопасности должен полагаться на неподписанную зону или имя
   сервер, который не осведомлен о безопасности, преобразователь может быть не в состоянии
   проверять ответы DNS, и потребуется локальная политика о том, следует ли
   принимать непроверенные ответы.

   Решатель, поддерживающий безопасность, должен принимать период проверки подписи.
   во внимание при определении TTL данных в его кеше, чтобы
   избегать кеширования подписанных данных по истечении срока действия
   подпись. Однако это также должно учитывать возможность того, что
   собственные часы распознавателя, обеспечивающего безопасность, неверны.Таким образом,
   распознаватель с учетом безопасности, который является частью рекурсивного
   DNS-серверу придется уделять особое внимание DNSSEC
   бит "проверка отключена" (CD) ([RFC4034]). Это для того, чтобы избежать
   блокирование доступа действительных подписей к другим
   распознаватели с поддержкой безопасности, которые являются клиентами этого рекурсивного имени
   сервер. См. [RFC4035], чтобы узнать, как безопасный рекурсивный сервер обрабатывает
   запросы с установленным битом CD.

7. Рекомендации по преобразованию заглушек

   Хотя протокол не требует этого строго, большинство DNS
   запросы исходят от преобразователей заглушек. Резолверы заглушек, автор:
   определение, являются минимальными преобразователями DNS, которые используют режим рекурсивного запроса
   переложить большую часть работы по разрешению DNS на рекурсивное имя
   сервер. Учитывая широкое использование преобразователей заглушек, DNSSEC





Арендс и др. Стандарты Track [Страница 11] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   архитектура должна учитывать заглушки, но
   функции безопасности, необходимые в преобразователе заглушек, в некоторых отношениях отличаются
   от тех, которые необходимы в итеративном преобразователе с учетом требований безопасности.Даже не заботящийся о безопасности резолвер заглушек может извлечь выгоду из DNSSEC, если
   рекурсивные серверы имен, которые он использует, осведомлены о безопасности, но для
   преобразователь заглушки, чтобы полностью полагаться на службы DNSSEC, заглушка
   преобразователь должен доверять как рассматриваемым рекурсивным серверам имен, так и
   каналы связи между собой и этими серверами имен.
   Первый из этих вопросов - это проблема местной политики: по сути,
   не обращающий внимания на безопасность резолвер заглушек не имеет иного выбора, кроме как разместить себя на
   милость рекурсивных серверов имен, которые он использует, поскольку он не
   самостоятельно выполнять проверки допустимости DNSSEC.Второй вопрос требует
   какой-то механизм защиты канала; правильное использование DNS
   механизмы аутентификации транзакций, такие как SIG (0) ([RFC2931]) или
   TSIG ([RFC2845]) будет достаточно, как и соответствующее использование IPsec.
   Для конкретных реализаций могут быть доступны другие варианты, например
   механизмы межпроцессного взаимодействия, специфичные для операционной системы.
   Для этого канала нужна не конфиденциальность, а целостность данных.
   и аутентификация сообщения есть.

   Решатель заглушек с учетом безопасности, который доверяет как своим рекурсивным
   серверы имен и канал связи с ними могут выбрать
   проверьте установку бита аутентифицированных данных (AD) в сообщении
   заголовок получаемых ответных сообщений. Резолвер заглушки может
   используйте этот бит флага как подсказку, чтобы узнать, действительно ли рекурсивное имя
   сервер смог проверить подписи для всех данных в
   Разделы «Ответ» и «Авторитет» ответа.

   Есть еще один шаг, который может предпринять распознаватель заглушек с учетом безопасности.
   если по какой-либо причине он не может установить полезное доверие
   отношения с рекурсивными серверами имен, которые он использует: он может
   выполнить собственную проверку подписи, установив параметр Checking Disabled
   (CD) бит в своих сообщениях запроса.Таким образом, проверяющий резолвер заглушки
   может обрабатывать подписи DNSSEC как доверительные отношения между
   администраторы зоны и сам преобразователь заглушек.

8. Рекомендации по зонам

   Между подписанными и неподписанными зонами есть несколько различий. А
   подписанная зона будет содержать дополнительные записи, связанные с безопасностью (RRSIG,
   DNSKEY, DS и NSEC записи). Записи RRSIG и NSEC могут быть
   генерируется в процессе подписания до обслуживания зоны. RRSIG
   записи, которые сопровождают данные зоны, определяют начало
   время истечения срока, которое устанавливает срок действия подписей
   и данные зоны, которые покрывают подписи.Арендс и др. Стандарты Track [Страница 12] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


8.1. Значения TTL и срок действия RRSIG

   Важно отметить различие между значением TTL RRset.
   и срок действия подписи, определенный Регламентом RRSIG, охватывающий
   что RRset. DNSSEC не изменяет определение или функцию
   Значение TTL, которое предназначено для поддержания согласованности базы данных в
   тайники.Кэширующий преобразователь не позднее удаляет наборы RR из своего кеша.
   чем конец периода времени, указанного в полях TTL тех
   RRsets, независимо от того, осведомлен ли распознаватель о безопасности.

   Поля начала и окончания срока действия в RRSIG RR ([RFC4034]), на
   с другой стороны, укажите период времени, в течение которого подпись
   может использоваться для проверки покрытого RRset.  Подписи, связанные
   с подписанными данными зоны действительны только в течение периода времени, указанного
   эти поля в рассматриваемых RRSIG RR.Значения TTL не могут увеличиваться
   срок действия подписанных RRset в кэше преобразователя, но
   преобразователь может использовать время, оставшееся до истечения срока
   срок действия подписи подписанного RR установить как верхнюю границу для
   TTL подписанного RRset и связанного с ним RRSIG RR в резолвере.
   кеш.

8.2. Новые проблемы временной зависимости для зон

   Информация в подписанной зоне имеет временную зависимость, которая не
   существуют в исходном протоколе DNS. Подписанная зона требует регулярного
   техническое обслуживание, чтобы гарантировать, что каждый RRset в зоне имеет текущий действующий
   RRSIG RR.Срок действия подписи RRSIG RR составляет
   интервал, в течение которого подпись для одного конкретного подписанного RRset
   можно считать действительными, а подписи различных наборов RR в
   зона может истечь в разное время. Повторная подпись одного или нескольких наборов RR в
   зона изменит один или несколько RRSIG RR, что, в свою очередь, потребует
   увеличение серийного номера SOA зоны, чтобы указать, что зона
   изменение и повторная подпись самого SOA RRset. Таким образом,
   повторная подпись любого RRset в зоне также может запускать сообщения DNS NOTIFY
   и операции зонального переноса.9. Замечания по серверу имен

   Сервер имен с учетом требований безопасности должен включать соответствующий DNSSEC.
   записи (RRSIG, DNSKEY, DS и NSEC) во всех ответах на запросы
   от резолверов, которые заявили о своей готовности получить такие
   записи с использованием бита DO в заголовке EDNS, в зависимости от сообщения
   ограничения по размеру. Поскольку включение этих записей DNSSEC может легко
   вызывает усечение сообщения UDP и откат к TCP, с учетом безопасности
   сервер имен также должен поддерживать EDNS "полезную нагрузку UDP отправителя"
   механизм.Арендс и др. Стандарты Track [Страница 13] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г. 


   По возможности следует сохранить частную половину каждой пары ключей DNSSEC.
   офлайн, но это будет невозможно для зоны, для которой DNS
   включено динамическое обновление. В случае динамического обновления
   первичный главный сервер для зоны должен будет повторно подписать зону, когда
   он обновляется, поэтому закрытый ключ, соответствующий подписи зоны
   ключ придется хранить в сети.Это пример ситуации
   в котором возможность разделить DNSKEY RRset зоны на зону
   ключ (и) подписи и ключ (и) подписи могут быть полезны в качестве ключа
   ключ (-и) подписи в таком случае может оставаться в автономном режиме и может иметь
   более продолжительный полезный срок службы, чем у ключа (ключей) подписи зоны.

   Самого по себе DNSSEC недостаточно для защиты целостности всего
   зона во время операций передачи зоны, так как даже подписанная зона содержит
   некоторые неподписанные, неавторизованные данные, если в зоне есть дочерние элементы.Следовательно, операции по обслуживанию зоны потребуют дополнительных
   механизмы (скорее всего, некоторая форма безопасности канала, такая как TSIG,
   SIG (0) или IPsec).

10. Семейство документов безопасности DNS

   Набор документов DNSSEC можно разделить на несколько основных групп:
   под более широким кругом документов базового протокола DNS.

   «Набор документов протокола DNSSEC» относится к трем документам, которые
   составляют основу расширений безопасности DNS:

   1. Введение в безопасность DNS и требования (этот документ)

   2.Записи ресурсов для расширений безопасности DNS [RFC4034]

   3. Модификации протокола для расширений безопасности DNS [RFC4035]

   Кроме того, любой документ, который добавит или изменит основной DNS
   Расширения безопасности попадают в эту категорию. Сюда входят любые
   будущая работа над связью между заглушкой, учитывающей безопасность
   резолверы и вышестоящие рекурсивные серверы имен с учетом безопасности.

   Набор документов «Спецификация алгоритма цифровой подписи» ссылается на
   к группе документов, описывающих, как конкретно
   должны быть реализованы алгоритмы подписи, чтобы соответствовать ресурсу DNSSEC. 
   формат записи.Каждый документ в этом наборе касается определенного
   алгоритм цифровой подписи. См. Приложение "DNSSEC
   Типы алгоритмов и дайджестов »в [RFC4034], где приведен список алгоритмов.
   которые были определены при написании этой базовой спецификации.

   Набор документов «Протокол аутентификации транзакции» относится к
   группа документов, касающихся аутентификации сообщений DNS,
   включая установление и проверку секретного ключа. Хотя нет



Арендс и др. Стандарты Track [Страница 14] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   строго часть спецификации DNSSEC, как определено в этом наборе
   В документах эта группа отмечена из-за ее связи с DNSSEC.Последний набор документов «Новые средства защиты» относится к документам, которые
   стремиться использовать предлагаемые расширения безопасности DNS для другой безопасности
   связанные цели. DNSSEC не обеспечивает прямой безопасности для
   эти новые виды использования, но могут быть использованы для их поддержки. Документы, которые падают
   в эту категорию входят те, которые описывают использование DNS в
   хранение и распространение сертификатов ([RFC2538]).

11. Соображения IANA

   Этот обзорный документ не содержит новых соображений IANA. Пожалуйста
   см. [RFC4034] для полного обзора соображений IANA.
   введен DNSSEC.12. Соображения безопасности

   В этом документе представлены расширения безопасности DNS и описаны
   набор документов, содержащий новые записи безопасности и протокол DNS
   модификации. Расширения обеспечивают аутентификацию источника данных и
   целостность данных с использованием цифровых подписей над наборами записей ресурсов.
   В этом разделе обсуждаются ограничения этих расширений.

   Чтобы распознаватель, поддерживающий безопасность, мог проверить ответ DNS,
   все зоны на пути от проверенной точки старта до зоны
   содержащие зоны ответа должны быть подписаны, а все серверы имен
   и решатели, участвующие в процессе разрешения проблем, должны быть
   с учетом безопасности, как определено в этом наборе документов. С заботой о безопасности
   преобразователь не может проверить ответы, исходящие из неподписанной зоны,
   из зоны, не обслуживаемой сервером имен с учетом требований безопасности, или для любых
   Данные DNS, которые распознаватель может получить только с помощью рекурсивного
   сервер имен, который не заботится о безопасности. Если есть перерыв в
   цепочка аутентификации, такая, что распознаватель с учетом безопасности не может
   получить и проверить необходимые ключи аутентификации, затем
   распознаватель с поддержкой безопасности не может проверить затронутые данные DNS.В этом документе кратко обсуждаются другие методы добавления безопасности к
   DNS-запрос, такой как использование канала, защищенного IPsec, или использование DNS.
   механизм аутентификации транзакции, такой как TSIG ([RFC2845]) или
   SIG (0) ([RFC2931]), но безопасность транзакций не является частью DNSSEC.
   как таковой.

   Непроверяющий распознаватель заглушек, поддерживающий безопасность, по определению
   не выполнять проверку подписи DNSSEC самостоятельно и, следовательно,
   уязвим как для атак на рекурсивный
   серверы имен, которые выполняют эти проверки от его имени и для атак
   о его связи с этим рекурсивным именем с учетом безопасности



Арендс и др.Стандарты Track [Страница 15] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   серверы. Непроверяющие распознаватели заглушек с учетом безопасности должны использовать
   некоторая форма безопасности канала для защиты от последней угрозы.
   Единственная известная защита от прежней угрозы - это защита
   распознающий заглушки с учетом безопасности для выполнения собственной проверки подписи,
   в этот момент, опять же по определению, это больше не будет
   непроверяющий преобразователь заглушек с учетом безопасности.DNSSEC не защищает от атак типа «отказ в обслуживании». DNSSEC
   делает DNS уязвимым для нового класса атак типа "отказ в обслуживании"
   основан на криптографических операциях с распознавателями, учитывающими безопасность
   и безопасные серверы имен, так как злоумышленник может попытаться использовать
   Механизмы DNSSEC для потребления ресурсов жертвы.  Этот класс
   атаки принимают как минимум две формы. Злоумышленник может потреблять
   ресурсов в коде проверки подписи распознавателя с учетом безопасности
   вмешательство в RRSIG RR в ответных сообщениях или построение
   излишне сложные цепочки подписей.Злоумышленник также может
   потребляют ресурсы на безопасном сервере имен, который поддерживает DNS
   динамическое обновление, отправляя поток сообщений об обновлении, которые заставляют
   безопасный сервер имен для повторной подписи некоторых RRset в зоне подробнее
   чаще, чем было бы необходимо.

   Из-за сознательного выбора конструкции DNSSEC не обеспечивает
   конфиденциальность.

   DNSSEC предоставляет возможность враждебной стороне перечислять все
   имена в зоне, следуя цепочке NSEC.Заявители NSEC утверждают
   какие имена не существуют в зоне путем связывания существующего имени с
   существующее имя в каноническом порядке всех имен в пределах
   зона. Таким образом, злоумышленник может запросить эти записи NSEC RR последовательно, чтобы
   получить все имена в зоне. Хотя это не атака на
   сам DNS, он может позволить злоумышленнику сопоставить сетевые узлы или
   другие ресурсы путем перечисления содержимого зоны.

   DNSSEC значительно усложняет DNS и
   таким образом вводит много новых возможностей для ошибок реализации и
   неправильно настроенные зоны.В частности, включение подписи DNSSEC
   проверка в резолвере может привести к тому, что целые легитимные зоны станут
   фактически недоступен из-за ошибок или ошибок конфигурации DNSSEC.

   DNSSEC не защищает от подделки неподписанных данных зоны.
   Неавторизованные данные по зонным разрезам (клей и NS RR в родительской
   зона) не подписаны. Это не представляет проблемы при проверке
   цепочку аутентификации, но это означает, что неавторизованный
   сами данные уязвимы для подделки во время передачи зоны
   операции.Таким образом, хотя DNSSEC может предоставить источник данных
   аутентификации и целостности данных для RRset, это невозможно для
   зоны и другие механизмы (такие как TSIG, SIG (0) или IPsec) должны быть
   используется для защиты операций передачи зоны. 



Арендс и др. Стандарты Track [Страница 16] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   См. [RFC4034] и [RFC4035] для дополнительной безопасности.
   соображения.

13. Благодарности

   Этот документ был создан на основе предложений и идей членов
   Рабочая группа по расширениям DNS.Хотя явно перечисляя
   все, кто внес свой вклад в течение десятилетия, в течение которого DNSSEC
   в разработке было бы невозможно, редакторы
   особенно хотел бы поблагодарить следующих людей за их
   материалы и комментарии к этому набору документов: Яап Аккерхейс,
   Марк Эндрюс, Дерек Аткинс, Рой Бадами, Алан Барретт, Дэн Бернштейн,
   Дэвид Блэка, Лен Бадни, Рэнди Буш, Фрэнсис Дюпон, Дональд
   Истлейк, Роберт Эльц, Мик Гибен, Майкл Графф, Олафур Гудмундссон,
   Жиль Гетт, Андреас Густафссон, Юн-Ичиро Итоджун Хагино, Филипп
   Халлам-Бейкер, Боб Халли, Тед Харди, Уолтер Ховард, Грег Хадсон,
   Кристиан Уитема, Йохан Ирен, Стивен Джейкоб, Йелте Янсен, Саймон
   Йозефссон, Андрис Калнозолс, Питер Кох, Олаф Колкман, Марк Костерс,
   Суреш Кришнасвами, Бен Лори, Дэвид Лоуренс, Тед Лемон, Эд Льюис,
   Тед Линдгрин, Джош Литтлфилд, Рип Лумис, Билл Мэннинг, Расс
   Манди, Томас Нартен, Манс Нильссон, Масатака Охта, Майк Паттон, Роб
   Пейн, Джим Рид, Майкл Ричардсон, Эрик Розендал, Маркос Санс,
   Пекка Савола, Якоб Шлайтер, Майк Сент-Джонс, Пол Викси, Сэм Вейлер,
   Брайан Веллингтон и Сюзанна Вульф.Несомненно, приведенный выше список неполный. Мы приносим свои извинения всем, кого мы
   опущены.

14. Ссылки

14.1. Нормативные ссылки

   [RFC1034] Мокапетрис П., «Доменные имена - концепции и возможности»,
              STD 13, RFC 1034, ноябрь 1987 г.

   [RFC1035] Mockapetris, P., "Доменные имена - реализация и
              спецификация », STD 13, RFC 1035, ноябрь 1987 г.

   [RFC2535] Истлейк 3-й, Д., "Безопасность системы доменных имен
              Расширения ", RFC 2535, март 1999 г.

   [RFC2671] Викси П., «Механизмы расширения для DNS (EDNS0)», RFC
              2671, август 1999 г. 

   [RFC3225] Конрад, Д., «Указание на поддержку DNSSEC резолвером», RFC
              3225, декабрь 2001 г.





Арендс и др. Стандарты Track [Страница 17] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   [RFC3226] Гудмундссон, О., «Сервер / преобразователь с поддержкой DNSSEC и IPv6 A6.
              требования к размеру сообщения », RFC 3226, декабрь 2001 г.[RFC3445] Мэсси, Д. и С. Роуз, "Ограничение области действия ключа"
              Resource Record (RR) », RFC 3445, декабрь 2002 г.

   [RFC4034] Арендс, Р., Остейн, Р., Ларсон, М., Мэсси, Д., и С.
              Роуз, «Ресурсы для расширений безопасности DNS», RFC
              4034, март 2005 г.

   [RFC4035] Арендс, Р., Остейн, Р., Ларсон, М., Мэсси, Д., и С.
              Роуз, "Модификации протокола для безопасности DNS
              Расширения ", RFC 4035, март 2005 г.

14.2. Информативные ссылки

   [RFC2136] Викси П., Томсон, С., Рехтер, Ю. и Дж. Баунд,
              «Динамические обновления в системе доменных имен (ОБНОВЛЕНИЕ DNS)»,
              RFC 2136, апрель 1997 г.

   [RFC2181] Эльз, Р. и Р. Буш, «Разъяснения к DNS.
              Спецификация », RFC 2181, июль 1997 г.

   [RFC2308] Эндрюс М., «Отрицательное кэширование DNS-запросов (DNS
              NCACHE) », RFC 2308, март 1998 г.

   [RFC2538] Eastlake 3rd, D. and O. Gudmundsson, "Хранение сертификатов
              в системе доменных имен (DNS) », RFC 2538, март 1999 г.[RFC2845] Викси, П., Гудмундссон, О., Истлейк, 3-й, Д. и Б.
              Веллингтон, "Аутентификация транзакции с секретным ключом для DNS".
              (TSIG) ", RFC 2845, май 2000 г.

   [RFC2931] Истлейк 3-й, Д., «DNS-запросы и подписи транзакций.
              (SIG (0) s) ", RFC 2931, сентябрь 2000 г.

   [RFC3007] Веллингтон, Б., "Безопасная система доменных имен (DNS) динамическая
              Обновление », RFC 3007, ноябрь 2000 г.

   [RFC3008] Веллингтон, Б., «Безопасность системы доменных имен (DNSSEC).
              Подписывающий орган ", RFC 3008, ноябрь 2000 г. [RFC3090] Льюис, Э., "Уточнение расширения безопасности DNS для зоны
              Статус », RFC 3090, март 2001 г.

   [RFC3597] Густафссон, А., "Обработка неизвестной записи ресурса DNS
              (RR) Types », RFC 3597, сентябрь 2003 г.




Арендс и др. Стандарты Track [Страница 18] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


   [RFC3655] Веллингтон, Б. и О. Гудмундссон, «Новое определение DNS.
              Бит аутентифицированных данных (AD) », RFC 3655, ноябрь 2003 г.[RFC3658] Гудмундссон, О., "Запись ресурса лица, подписывающего делегирование (DS)
              (RR) ", RFC 3658, декабрь 2003 г.

   [RFC3755] Вейлер, С., "Совместимость устаревшего преобразователя для делегирования
              Подписывающее лицо (DS) ", RFC 3755, май 2004 г.

   [RFC3757] Колкман, О., Шлайтер, Дж., И Э. Льюис, «Доменное имя
              Системный ключ (DNSKEY) Запись ресурса (RR) Безопасный вход
              Point (SEP) Flag », RFC 3757, апрель 2004 г.

   [RFC3833] Аткинс, Д. и Р. Остайн, "Анализ угроз домена
              Система имен (DNS) », RFC 3833, август 2004 г.[RFC3845] Шлайтер, Дж., "Безопасность DNS (DNSSEC) NextSECure (NSEC)"
              Формат RDATA », RFC 3845, август 2004 г.

































Арендс и др. Стандарты Track [Страница 19] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


Адреса авторов

   Рой Арендс
   Telematica Instituut
   Brouwerijstraat 1
   7523 XC Enschede
   NL

   Электронная почта: [email protected]


   Роб Остейн
   Консорциум Интернет-систем
   950 Чартер-стрит
   Редвуд-Сити, Калифорния 94063
   Соединенные Штаты Америки

   Электронная почта: sra @ isc.org


   Мэтт Ларсон
   VeriSign, Inc.
   21345 Круг Ridgetop
   Даллес, Вирджиния, 20166-6503
   Соединенные Штаты Америки

   Электронная почта: [email protected]


   Дэн Мэсси
   Государственный университет Колорадо
   Департамент компьютерных наук
   Форт-Коллинз, Колорадо 80523-1873

   Электронная почта: massey@cs. colostate.edu


   Скотт Роуз
   Национальный институт стандартов и технологий
   100 Bureau Drive
   Гейтерсбург, Мэриленд 20899-8920
   Соединенные Штаты Америки

   Электронная почта: [email protected]







Арендс и др. Стандарты Track [Страница 20] 

RFC 4033 Введение в безопасность DNS и требования, март 2005 г.


Полное заявление об авторских правах

   Авторские права (C) The Internet Society (2005).На этот документ распространяются права, лицензии и ограничения.
   содержится в BCP 78, и, за исключением случаев, изложенных в нем, авторы
   сохраняют все свои права.

   Этот документ и содержащаяся в нем информация размещены на
   Принцип "КАК ЕСТЬ" и ПОСТАВЩИК, ОРГАНИЗАЦИЯ, ПРЕДСТАВЛЯЕМЫЕ ОН / ОНА
   ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ ЕСТЬ) ИНТЕРНЕТ-ОБЩЕСТВОМ И ИНТЕРНЕТОМ
   ТЕХНИЧЕСКОЕ ОБСЛУЖИВАНИЕ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ,
   ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯ ГАРАНТИЮ, ЧТО ИСПОЛЬЗОВАНИЕ
   ПРИСУТСТВУЮЩАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ПОДРАЗУМЕВАЕМЫХ
   ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.Интеллектуальная собственность

   IETF не занимает никакой позиции относительно действительности или объема каких-либо
   Права на интеллектуальную собственность или другие права, которые могут быть заявлены на
   относятся к реализации или использованию технологии, описанной в
   этот документ или степень, в которой любая лицензия на такие права
   может быть, а может и нет; и не означает, что у него есть
   предпринял какие-либо независимые усилия для выявления любых таких прав. Информация
   о процедурах в отношении прав в документах RFC может быть
   найдено в BCP 78 и BCP 79.Копии раскрытия информации о правах интеллектуальной собственности в секретариат IETF и
   гарантии предоставления лицензий или результат
   попытка получить генеральную лицензию или разрешение на использование
   такие права собственности разработчиков или пользователей этого
   спецификацию можно получить из он-лайн репозитория IETF IPR по адресу
   http://www. ietf.org/ipr.

   IETF приглашает любую заинтересованную сторону довести до ее сведения любые
   авторские права, патенты или заявки на патенты или другие проприетарные
   права, которые могут распространяться на технологии, которые могут потребоваться для реализации
   этот стандарт.Пожалуйста, направьте информацию в IETF по адресу ietf-
   [email protected].

Подтверждение

   Финансирование функции редактора RFC в настоящее время обеспечивается
   Интернет-общество.







Арендс и др. Standards Track [Страница 21]

 

NVD – cve-2020-4033

CVE-2020-4033 Деталь Модифицированный Эта уязвимость была изменена с момента ее последнего анализа NVD.Ожидается повторный анализ, который может привести к дальнейшим изменениям предоставленной информации. Текущее описание В FreeRDP до версии 2.1.2 в RLEDECOMPRESS прочитано запрещенное значение. Это касается всех клиентов на основе FreeRDP с сеансами с глубиной цвета <32. Это исправлено в версии 2.1.2. Просмотр описания анализа Анализ Описание В FreeRDP до версии 2.1.2, в RLEDECOMPRESS есть недопустимое чтение. Это касается всех клиентов на основе FreeRDP с сеансами с глубиной цвета <32. Это исправлено в версии 2.1.2. Уровень серьезности CVSS Версия 3.x CVSS Версия 2.0 CVSS 3.x Серьезность и показатели: CVSS 2.0 Серьезность и показатели: Ссылки на рекомендации, решения и инструменты Выбирая эти ссылки, вы покидаете веб-пространство NIST. Мы предоставили эти ссылки на другие веб-сайты, потому что они может содержать информацию, которая может вас заинтересовать. Нет выводы должны быть сделаны на основании того, что другие сайты упоминается или нет с этой страницы.Может быть другая сеть сайты, которые больше подходят для ваших целей. NIST делает не обязательно поддерживать выраженные взгляды или соглашаться с факты, представленные на этих сайтах. Кроме того, NIST не рекомендовать любые коммерческие продукты, которые могут быть упомянуты на эти сайты. Пожалуйста, направляйте комментарии об этой странице по адресу [email protected]. Перечисление слабых мест CWE-ID CWE Имя Источник CWE-125 Чтение аут-аута NIST GitHub, Inc. История изменений Найдено 8 записей об изменениях Показать изменения CVE Изменено GitHub, Inc. 8.09.2020 6:15:16 Действие Тип Старое значение Новое значение Добавлено Номер ссылки https: // usn.ubuntu.com/4481-1/ [Типы не назначены] Модифицированный анализ 14.08.2020 11:28:58 Действие Тип Старое значение Новое значение Добавлено Конфигурация CPE ИЛИ * cpe: 2. 3: o: fedoraproject: fedora: 31: *: *: *: *: *: *: * * cpe: 2.3: o: fedoraproject: fedora: 32: *: *: *: *: *: *: * Добавлено Конфигурация CPE ИЛИ * cpe: 2.3: o: opensuse: leap: 15.1: *: *: *: *: *: *: * Изменено Ссылка Тип http: // списки.opensuse.org/opensuse-security-announce/2020-07/msg00080.html Типы не назначены http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00080.html Список рассылки, Консультации для третьих сторон Изменено Ссылка Тип https: //lists.fedoraproject.org/archives/list/[email protected]/message/6Y35HBHG2INICLSGCIKNAR7GCXEHQACQ/ Типы не назначены https://lists.fedoraproject.org/archives/list/[email protected]/message/6Y35HBHG2INICLSGCIKNAR7GCXEHQACQ/ Список рассылки, Консультативное сообщение третьей стороны Изменено Ссылка Тип https: // списки.fedoraproject.org/archives/list/package-announce@lists. fedoraproject.org/message/XOZLh45OJWIQLM7FYDXAP2EAUBDXE76V/ Типы не назначены https://lists.fedoraproject.org/archives/list/[email protected]/message/XOZLh45OJWIQLM7FYDXAP2EAUBDXE76V/ Список рассылки, Консультативное сообщение третьей стороны CVE Изменено GitHub, Inc.01.08.2020 2:15:12 Действие Тип Старое значение Новое значение Добавлено Номер ссылки https://lists.fedoraproject.org/archives/list/[email protected]/message/XOZLh45OJWIQLM7FYDXAP2EAUBDXE76V/ [Типы не назначены] CVE Изменено GitHub, Inc. 30.07.2020 16:15:13 Действие Тип Старое значение Новое значение Добавлено Номер ссылки https: // списки.fedoraproject.org/archives/list/[email protected]/message/6Y35HBHG2INICLSGCIKNAR7GCXEHQACQ/ [Типы не назначены] CVE Изменено GitHub, Inc. 26.07.2020 20:15:15 Действие Тип Старое значение Новое значение Добавлено Номер ссылки http: // списки. opensuse.org/opensuse-security-announce/2020-07/msg00080.html [Типы не назначены] Реанализ 13.07.2020 12:28:48 Действие Тип Старое значение Новое значение Добавлено CVSS V3.1 NIST AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: L Удалено CVSS V3.1 NIST AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: H Первоначальный анализ 29.06.2020 12:20:37 Действие Тип Старое значение Новое значение Добавлено Конфигурация CPE ИЛИ * cpe: 2.3: a: freerdp: freerdp: *: *: *: *: *: *: *: * версии до (исключая) 2.1.2 Добавлено CVSS V2 NIST (AV: N / AC: L / Au: N / C: P / I: N / A: P) Добавлено CVSS V3. 1 NIST AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: H Добавлено CWE NIST CWE-125 Изменено Ссылка Тип http: // www.freerdp.com/2020/06/22/2_1_2-released Типы не назначены http://www.freerdp.com/2020/06/22/2_1_2-released Примечания к выпуску, Рекомендации поставщика Изменено Ссылка Тип https://github.com/FreeRDP/FreeRDP/commit/0a98c450c58ec150e44781c89aa6f8e7e0f571f5 Типы не назначены https: // github.com / FreeRDP / FreeRDP / commit / 0a98c450c58ec150e44781c89aa6f8e7e0f571f5 Патч, сторонние рекомендации Изменено Ссылка Тип https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-7rhj-856w-82p8 Типы не назначены https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-7rhj-856w-82p8 Снижение риска, рекомендации для третьих сторон CVE Изменено GitHub, Inc. 22.06.2020 19:15:09 Действие Тип Старое значение Новое значение Изменено Описание В FreeRDP до версии 2.1.2 в RLEDECOMPRESS читается недопустимое значение. Это касается всех клиентов на основе FreeRDP с сеансами с глубиной цвета <32.Это исправлено в версии 2.1.2. В FreeRDP до версии 2.1.2 в RLEDECOMPRESS читается недопустимое значение. Это касается всех клиентов на основе FreeRDP с сеансами с глубиной цвета <32. Это исправлено в версии 2.1.2. Краткая информация CVE Словарная статья: CVE-2020-4033 NVD Дата публикации: 22.06.2020 NVD Последнее изменение: 08.09.2020 Источник: GitHub, Inc.

Раздел 22, §4033: Обслуживание и уведомление

§4033. Обслуживание и уведомление

1. Служба петиций. Ходатайство о защите ребенка подается следующим образом:

А.Ходатайство и уведомление о слушании должны быть вручены родителям, законному опекуну и опекунам, опекуну ad litem для ребенка и любой другой стороне не менее чем за 10 дней до даты слушания. Сторона может отказаться от этого требования о времени, если отказ оформлен в письменном виде и добровольно и сознательно оформлен в суде перед судьей. Обслуживание должно производиться в соответствии с Правилами гражданского судопроизводства штата Мэн. [PL 2015, c.501, §3 (AMD).]

Б. Если департамент не является заявителем, заявитель должен вручить копию петиции и уведомление о слушании государству. [PL 1979, c. 733, §18 (НОВОЕ).]

2. Уведомление о предварительном охранном ордере. Если требуется запрос о выдаче предварительного охранного судебного приказа, заявитель должен любыми разумными способами уведомить родителей, законного опекуна и опекунов о намерении запросить это постановление и о суде, в котором адвокат родителей, законный опекун или хранители могут подавать ходатайства, включая ходатайства об изменении или отмене любого выданного предварительного охранного ордера. Это уведомление не требуется, если заявитель включает в ходатайство заявление под присягой с подробным описанием фактов, которые:

А.Ребенку будет нанесен серьезный вред в течение времени, необходимого для уведомления родителей, законного опекуна или опекунов; или же [PL 2015, c. 501, §4 (AMD).]

Б. Предварительное уведомление родителей, законного опекуна или попечителей повысит риск серьезного вреда для ребенка или заявителя. [PL 2015, c.501, §4 (AMD).]

Непредоставление уведомления, требуемого данным разделом, после добросовестной попытки сделать это не является основанием для отказа в выдаче предварительного охранного судебного приказа.

3. Служба предварительного охранного ордера. Если суд выносит предварительный охранный ордер, его копия должна быть вручена родителям, законному опекуну и попечителям:

А. Доставка в руки судьей или судебным секретарем любому родителю, законному опекуну, попечителю или их адвокату, которые присутствуют при вынесении приказа; [PL 2015, c.501, §5 (AMD).]

Б. Служба в соответствии с Правилами гражданского судопроизводства штата Мэн. Несмотря на Гражданские процессуальные правила штата Мэн, суд может отказаться от обслуживания путем публикации предварительного охранного судебного приказа для стороны, местонахождение которой неизвестно, если департамент под присягой покажет, что были предприняты все усилия для установления местонахождения стороны; или же [PL 1989, c.819, §5 (AMD).]

С. Другой способ распорядился судом. [PL 1979, c. 733, §18 (НОВОЕ).]

3-А. Информация предоставлена ​​родителям. Когда суд выносит предварительный охранный ордер на ребенка, который физически лишен родителей, законного опекуна или попечителей, во время изъятия заявитель должен предоставить родителям, законным опекунам или попечителям в письменной форме следующую информацию ребенка:

А. ФИО и рабочий телефон соц.работника; [PL 1987, c. 395, Pt. A, §90 (НОВОЕ).]

Б. Размещение у родственника или другое место, куда будет доставлен ребенок; и [PL 2015, c. 501, §6 (AMD).]

С. Копия полного предварительного охранного ордера. [PL 1987, c. 395, Pt. A, §90 (НОВОЕ).]

Эта информация не требуется, если заявитель включает в ходатайство под присягой заявление о том, что предоставление информации может создать угрозу серьезного вреда ребенку, лицу, осуществляющему уход, подателю петиции или любому другому лицу.

«Право быть заслушанным включает только право давать показания и не включает право представлять других свидетелей или доказательства, присутствовать на любой другой части судебного разбирательства или иметь доступ к состязательным бумагам или записям».

Копия уведомления должна быть подана в суд до начала разбирательства.

6. Уведомление законным опекунам. Когда требуется направить уведомление законному опекуну ребенка, департамент должен уведомить всех законных опекунов ребенка, которые известны департаменту.

PL 1979, г. 733, §18 (НОВОЕ). PL 1987, c. 395, §A90 (AMD). PL 1989, c. 819, §5 (AMD). PL 1997, c. 715, Pt. B, §6 (AMD). PL 2007, c. 255, §5 (AMD). PL 2015, c. 501, §§3-8 (AMD).

Фосфо-Met (Tyr1234 / 1235) (D26) Кроличьи мАт XP® (биотинилированное)

Ограниченное использование

Если иное прямо не согласовано в письменной форме, подписанной законным представителем CST, следующие условия применяются к Продуктам, предоставляемым CST, ее аффилированными лицами или ее дистрибьюторами.Любые условия и положения Клиента, указанные в дополняют или отличаются от содержащихся в настоящем документе, если иное не принято в письменной форме юридически уполномоченным представитель CST, отклоняются и не имеют силы.

Продукты имеют маркировку «Только для исследовательских целей» или аналогичное заявление о маркировке и не были одобрены, одобрены или лицензированы. FDA или другой регулирующей иностранной или отечественной организацией для любых целей. Заказчик не должен использовать какой-либо Продукт для диагностики. или в терапевтических целях, или иным образом любым способом, который противоречит заявлению на этикетке.Продукты, продаваемые или лицензируемые CST предоставляются Заказчику как конечному пользователю и исключительно для использования в исследованиях и разработках. Любое использование Продукта для диагностики, профилактические или терапевтические цели, или любая покупка Продукта для перепродажи (отдельно или в качестве компонента) или в других коммерческих целях, требуется отдельная лицензия от CST. Клиент обязуется (а) не продавать, лицензировать, ссужать, жертвовать или иным образом передавать или предоставлять любой Продукт для любой третьей стороны, отдельно или в сочетании с другими материалами, или использовать Продукты для производства любых коммерческие продукты, (б) не копировать, изменять, реконструировать, декомпилировать, дизассемблировать или иным образом пытаться обнаружить лежащие в основе структуру или технологию Продуктов, или использовать Продукты с целью разработки любых продуктов или услуг, которые конкурировать с продуктами или услугами CST, (c) не изменять и не удалять из Продуктов какие-либо товарные знаки, торговые наименования, логотипы, патенты или уведомления об авторских правах или маркировка, (d) использовать Продукты исключительно в соответствии с Условия продажи продуктов CST и любые применимые документации, и (e) соблюдать любую лицензию, условия обслуживания или аналогичное соглашение в отношении любых сторонних продуктов или услуги, используемые Клиентом в связи с Продуктами.

Cell Signaling Technology является товарным знаком Cell Signaling Technology, Inc.

XP является зарегистрированным товарным знаком Cell Signaling Technology, Inc.

Эпизод 4033 | Маппет Вики

Изображение	Сегмент	Описание
	СЦЕНА 1	Cookie Monster приветствует зрителя, воспевая тот "вкусный" день, который, как он думает, у него будет.Он замечает поблизости печенье и тянется к ним.
	СЦЕНА 1 продолжение	Печенье приходит к Гордону и Сидни, которые используют файлы cookie для игры «Угадай, что дальше». Они заканчивают печенье и направляются в магазин Хупера, чтобы получить еще, говоря Cookie Monster, чтобы он не ел их выкройки, пока их нет. Печенье не замечает, как таинственная пушистая рука смахивает все печенье. Гордон возвращается и видит, что все печенье исчезло, а затем обвиняет Cookie Monster в том, что он их съел.Куки утверждает, что он невиновен, но ему не верят. Он нюхает печенье где-то еще и следует за запахом.
	СЦЕНА 1 продолжение	Печенье попадает в гнездо Большой Птицы, где Большая Птица и Снаффи мешают ему съесть их печенье; они используют их для создания фигур. Пока двое спорят, какую форму сделать, печенье снова украдено. Они обвиняют Cookie Monster и идут в пещеру Снаффи, чтобы поиграть с капустным печеньем. «Меня ложно обвиняют!» - кричит Куки, когда он улавливает запах еще одного печенья.
	СЦЕНА 1 продолжение	Cookie попадает в магазин Mail It Shop, где Мария отправляет печенье своей тете Розе в Пуэрто-Рико. Она разрешает Куки иметь одно печенье и обещает испечь ему партию завтра. Она ищет коробку, чтобы отправить ее, и никто из них не замечает, как те же пушистые руки берут ее форму с печеньем. Она также предполагает, что Cookie Monster съел печенье (включая банку) и все равно прощает его. Cookie Monster уходит с больным.
	СЦЕНА 1 продолжение	Все считают, что Cookie Monster дуется своим днем, и они говорят ему, что, естественно, думают, что он съел все их печенье; в конце концов, он же Cookie Monster. «Я обжора, а не лжец», - говорит он им и настаивает, что не ел чье-то печенье. Все они видят свою ошибку и приносят извинения. Но если он не взял печенье, то кто? Внезапно раздаются фанфары, сигнализирующие о прибытии Печенья Гуда и его лошади Мэриан.Он говорит им, что берет печенье у тех, у кого есть излишки, и отдает тому, кто не пользуется печеньем, производя банку печенья Марии для раздачи. Они говорят ему, что он украл , и он понимает, что это неправильно. Он возвращает Марии печенье, но у него нет ни крошки, чтобы отдать Cookie Monster. Он только что получил свое пособие и угощает Cookie Monster печеньем в магазине Hooper's Store, пока они поют репризу «Вкусного дня». Мэриан надеется, что у них есть брокколи; она не может выносить печенья.
	Анимация	Глиняные пещерные люди пытаются избежать дождя и в итоге делят зонтик.
	Маппеты / Знаменитости	R.E.M. поет "Веселые пушистые монстры". (Первая: Эпизод 3829)
	Маппеты	Число дней : 19 Маппет 19 появляется после того, как узнает, что номер дня 19. (Первое: Эпизод 3983)
	Мультфильм	Сьюзи Каблузи: Судья № 19 (Первый: Эпизод 3888)
	СЦЕНА 2	Cookie Hood предлагает Cookie Monster в переводе с португальского «biscoito», что означает «печенье».Эти двое поют, что «Cookie is a Cookie» на любом языке.
	Фильм	Дети комментируют свои любимые блюда. (Первая: Эпизод 3977)
	Маппеты	Путешествие к Эрни : Джунгли
	Маппеты	Эрни и Элмо обмениваются молоком и печеньем и поют «Поделиться». (Первая: Эпизод 3825)
	Маппеты	Global Grover : Гровер только что объехал весь земной шар и узнал о различных способах купания людей.В клипе Кевин Клэш поет песню «Вот как мы принимаем ванну». Загрязненный поездкой, Гровер намеревается вымыться, но из крана не выходит вода. Слон по имени Стиви помогает ему, используя хобот как насадку для душа.
	Мультфильм	Global Thingy Global Thingy ждет, когда его дыня вырастет.
	Маппеты	Письмо дня : S У Супер Гровера есть супер-план, чтобы не дать Cookie Monster съесть письмо дня.Он кладет печенье в корзину и тянет вверх веревкой. Однако Cookie Monster опускается и съедает корзину, отправляя Супер Гроувера в полет. (Первая: Эпизод 4006)
	Мультфильм	Буква S растет на лозе. (Первая: серия 3278)
	Маппеты	Испанское слово дня : sí, no Есть ли у Розиты время на испанское слово дня или нет? (Первый: Эпизод 3981) вырезано из версии DVD вырезано из версии YouTube
	Маппеты	Мир Элмо: Еда (Первая: Эпизод 3816)
	СЦЕНА 3	Big Bird использует куки-файлы, чтобы объявить спонсоров, которых потом ест Cookie Monster («Вот и конец!»)

Банкноты

• Этот выпуск был выпущен на канале SesameStreet на YouTube 8 декабря 2017 года под названием «Таинственный похититель печенья».