TSIG
TSIG (firma de transacción) es una computadora de red protocolo definido en RFC 2845. Es utilizado principalmente por la Sistema de nombres de dominio (DNS) para proporcionar un medio de autentificación de actualizaciones a una base de datos DNS. Comúnmente se utiliza para actualizar DNS dinámico o un servidor DNS secundario/esclavo. Usos TSIG compartidos claves secretas y un algoritmo hash unidireccional para proporcionar un medio criptográficamente seguro de autenticación de cada extremo de una conexión como poder hacer o responder a una actualización de DNS.
Aunque las consultas DNS pueden hacerse anónimamente (véase DNSSEC), actualizaciones de DNS deben ser autenticadas, puesto que hacen cambios duraderos en la estructura de Internet sistema. Puede realizar la solicitud de actualización sobre un canal no seguro (Internet), uno debe tomar medidas para garantizar la autenticidad y la integridad de la solicitud. El uso de una clave compartida por el cliente hacer la actualización y el servidor DNS ayuda a garantizar la autenticidad y la integridad de la solicitud de actualización. Una función hash unidireccional se usa para prevenir maliciosos observadores de modificar la actualización y la expedición hacia el destino, garantizando la integridad del mensaje de origen a destino.
Un timestamp está incluido en el protocolo de TSIG para evitar respuestas grabadas de ser reutilizados, que podría permitir a un atacante romper la seguridad de TSIG. Esto pone un requisito en los servidores DNS dinámicos y clientes TSIG para contener un reloj de precisión. Puesto que los servidores DNS están conectados a una red, Network Time Protocol puede utilizarse para proporcionar una fuente de la hora exacta.
Actualizaciones de DNS, como consultas, normalmente son transportadas vía UDP ya que requiere menor sobrecarga que TCP. Sin embargo, los servidores DNS admiten solicitudes tanto UDP y TCP.
Contenido
- 1 Implementación
- 2 Alternativas a TSIG
- 3 Véase también
- 4 Referencias
- 5 Enlaces externos
Implementación
Una actualización, como se especifica en RFC 2136, es un conjunto de instrucciones a un servidor DNS. Estos incluyen un encabezado, la zona a ser actualizado, los requisitos que deben cumplirse y los registros a ser actualizado. TSIG agrega un registro final, que incluye una marca de tiempo y el hash de la solicitud. También incluye el nombre de la clave secreta que se utilizó para firmar la petición. RFC 2535 tiene recomendaciones sobre la forma del nombre.
La respuesta a una actualización correcta TSIG también será firmada con un récord TSIG. Fallas no están firmados para impedir que un atacante aprender algo sobre la llave TSIG actualización especialmente diseñado "sondeos".
El nsupdate programa puede utilizar TSIG para hacer las actualizaciones DNS.
El registro TSIG está en el mismo formato que los otros registros en la solicitud de actualización. Se describe el significado de los campos en RFC 1035.
| Campo | Bytes | Descripción |
|---|---|---|
| NOMBRE | máximo 256 | Nombre de clave, que debe ser único en cliente y servidor |
| TIPO | 2 | TSIG (250) |
| CLASE | 2 | CUALQUIER (255) |
| TTL | 4 | 0 (puesto que no almacenará en caché los registros TSIG) |
| RDLENGTH | 2 | Longitud de campo RDATA |
| RDATA | variable | Estructura que contiene los datos timestamp y algoritmo hash |
Alternativas a TSIG
Aunque TSIG está ampliamente desplegada, hay varios problemas con el protocolo:
- Se requiere distribuir claves secretas para cada host que debe hacer las actualizaciones.
- El compendio de HMAC-MD5 ya no es considerado muy seguro.
- No hay ningún nivel de autoridad. Cualquier host con la llave secreta puede actualizar cualquier registro.
Como resultado, se han propuesto una serie de alternativas y extensiones.
- RFC 2137 especifica el método de actualización utilizando un clave pública Registro DNS "SIG". Un cliente con la clave privada correspondiente puede firmar la solicitud de actualización. Este método coincide con el DNSSEC método para consultas seguras. Sin embargo, este método es obsoleto por RFC 3007.
- En el año 2003[actualización], RFC 3645 propuso extender TSIG para permitir que el método de servicio de seguridad genérica (GSS) de intercambio de claves segura, eliminando la necesidad de distribuir manualmente claves para todos los clientes TSIG. El método de distribución de claves públicas como especificado en un registro DNS de recursos (RR) RFC 2930, con GSS como una modalidad de este método. A GSS-TSIG modificado -uso de las ventanas Kerberos Servidor - fue implementada por Microsoft Windows Active Directory servidores y clientes llaman actualización dinámica segura. En combinación con el uso de DNS (con ninguna zona de búsqueda inversa) mal configurado RFC 1918 actualizaciones de DNS inversas, direccionamiento mediante este esquema de autenticación se reenvían masivamente a los servidores DNS raíz y aumentan el tráfico a los servidores DNS raíz en el curso de hacerlo [1]. Hay un Anycast Grupo que se ocupa de este tráfico llevarlo lejos de la raíz de servidores DNS[2].
- RFC 2845, que define TSIG, especifica solamente uno permitido hash función, el 128-bit HMAC-MD5, que ya no se considera altamente segura. RFC 4635 se distribuyó para permitir RFC 3174 Secure hashing de Algoritmo Hash (SHA1) y FIPS PUB 180-2 SHA-2 Hash MD5 de reemplazar. Los resúmenes de 160 bits y 256 bits generados por SHA1 y SHA-2 son más seguros que el compendio de 128 bits generado por MD5.
- RFC 2930, el cual define TKEY, un Registro DNS utilizado para distribuir claves automáticamente desde un servidor DNS para clientes DNS
- RFC 3645, Que define GSS-TSIG que utiliza gss-api y TKEY para distribuir las llaves automáticamente en el modo de gss-api
- El DNSCurve propuesta tiene muchas similitudes con TSIG.
Véase también
- Lista de tipos de registros DNS
Referencias
- Broido, Nemeth, claffy. "Espectroscopía de tráfico actualización DNS", CAIDA, 2002.
Enlaces externos
- RFC 2136 Actualizaciones dinámicas en el Domain Name System (DNS UPDATE)
- RFC 2845 Autenticación de transacciones clave secreta para el DNS (TSIG)
- RFC 2930 Establecimiento de la clave secreta para el DNS (TKEY RR)
- RFC 3645 Algoritmo de servicio genérico de seguridad para la autenticación de clave secreta de la transacción para el DNS (GSS-TSIG)
- RFC 3174 Estados Unidos seguro Algoritmo Hash 1
- RFC 4635 Identificadores de algoritmo HMAC SHA TSIG