sarja 7 45318d, 45356d 1. fi-domainin rekisteröinti ============================ Telehallintokeskus myöntää Internetin suomalaiset verkkotunnukset eli fi-juuren alaiset domain-nimet. Verkkotunnuksen käyttöoikeutta suositellaan haettavaksi Internet-palveluita tarjoavan teleyrityksen kautta. Sen voi tehdä myös sähköisellä hakulomakkeella Telehallintokeskuksesta. THK selvittää, että haettu verkkotunnus täyttää sille asetetut vaatimukset ja että hakija on oikeutettu sen saamiseen. Verkkotunnuksia myönnetään ainoastaan oikeushenkilöiden käyttöön. Yksityishenkilöt pääsevät verkkoon ja saavat sähköpostiosoitteensa Internet -palveluntarjoajansa kautta. Lisäksi ennen tunnuksen myöntämistä tarkistetaan, että verkkotunnukseen on toimivat Internet-yhteydet. Teknisen toimivuuden tarkistaa verkkotunnusten tekninen rekisterinpitäjä. Verkkotunnuksen myöntämisestä siirtämisestä ja muuttamisesta peritään kertamaksuna verkkotunnusmaksu 320 mk. Maksu peritään myös kielteisestä päätöksestä. Käytössä olevasta verkkotunnuksesta peritään vuosittaista ylläpitomaksua, jonka suuruus on 60 mk. Ylläpitomaksua alettiin periä verkkotunnuksesta vuoden 1998 alusta. 2. Nimipalvelutietueet ====================== Eri DNS -tietueet ja niiden selitykset: o Osoite (Address Records (A)) A-tietueet mäppäävät koneiden nimet niiden IP-osoitteiksi. A-tietue voisi näyttää esimerkiksi tältä: hemuli.tky.hut.fi. IN A 130.233.21.68 o Kanoninen nimi (Canonical Name Records (CNAME)) Mahdollistaa sen että koneella voi olla useampi kuin yksi nimi. Koneella täytyy kuitenkin ensin olla määriteltynä A-tietue, ennen kuin CNAME -aliaksia voidaan luoda. Esim. jt6-301a.tky.hut.fi. IN CNAME hemuli.tky.hut.fi o Postipalvelin (Mail Exchange Records (MX)) MX-tietueella määritellään se kone, jolle koneelle lähetetty posti oikeasti menee. Esim tässä root@sorkkarauta.cs.hut.fi:lle lähetetty posti menee osoitteeseen root@mail.cs.hut.fi: sorkkarauta.cs.hut.fi 3600 IN MX 1 mail.cs.hut.fi o Viittaus (Pointer Records (PTR)) On olemassa monia erilaisia tapoja PTR-tietueiden tekoon. Useimmin käytetty menetelmä on kuitenkin in-addr.arpa. Siinä tietueet ovat käänteisiä A-tietuisiin nähden ja mahdollistavat näin koneen nimen löytämisen IP-osoitteen avulla. Tätä kutsutaan myös "reverse lookup":ksi. Esim. 68.21.233.130.in-addr.arpa. IN PTR hemuli.tky.hut.fi. o Nimipalvelin (Nameserver Records (NS)) NS-tietueista löytyy nimipalvelin annetulle domainille. Jokaiselle nimipalvelimelle pitää olla olemassa A-tietue. Jokaisessa DNS-taulussa pitää olla ainakin kaksi NS-tietuetta. o Start Of Authority Records (SOA) DNS-taulun tärkein tietue, joka kertoo minkä domainin taulusta on kyse, mikä on domainin ensisijainen nimipalvelin ja mikä on vastaavan henkilön sähköpostiosoite. Lisäksi tietue sisältää sarjanumeron, refresh-ajan, uudelleenyritysajan, umpeutumisajan ja minimikelpoisuusajan. Esim. tky.hut.fi. IN SOA ns.tky.hut.fi. verkko.tky.hut.fi 1001101 ; serial 3600 ; refresh every hour 300 ; retry 5 mins 3600000 ; expires in 41 days 16 hours 3600 ; minimum ttl 1 hour 3. Käänteinen kysely ==================== a. Käänteinen kysely tehdään in-addr.arpa -systeemissä niin, että aluksi kysytään root-nimipalvelimelta (*-ROOT-SERVERS.NET) miltä nimipalvelimelta löytyy käänteinen tietue, tai pointteri seuraavaan nimipalvelimeen hierarkiassa. Viimeiseltä nimipalvelimelta sitten kysytään varsinainen kysely. b. Asiakaskone ottaa yhteyttä palvelimeen. Palvelinohjelma saa tietenkin tietoonsa asiakaskoneen IP-osoitteen. Jos tälle tehdään käänteinen kysely, tulee vastaus sen verkon nimipalvelimesta, jossa asiakaskone on. Tämä nimipalvelin voi vapaasti väittää, että ko. IP-osoitteella on nimi jotain.hut.fi, joten koneen oikeasta domainista ei voida käänteisen kyselyn perusteella olla kovin varmoja. Esim. rajoitus, että vain IP-osoitteista 130.233.x.x pääsee palveluun käsiksi on jo parempi. Ongelmana kuitenkin on se, että etenkin UDP-pohjaisissa protokollissa lähdeosoitteen väärentäminen on melko helppoa, joten jos halutaan oikeasti olla varmoja asiakkaan identiteetistä, pitää ottaa käyttöön kryptografisia menetelmiä. 4. DNSSEC ========= DNSSEC:iä tarvitaan suojaamaan nimijärjestelmän dataa luvattomilta muutoksilta ja alkuperän väärentämiseltä. DNSSEC:ssä käytetään julkisen avaimen kryptografiaa. Kun nimipalvelimelta kysytään jotain, sen palauttama tieto on allekirjoitettu julkisella avaimella. Kyselyn tekijä voi tarkistaa saamiensa vastausten allekirjoitukset, ja varmistua siitä että data on peräisin oikeasta paikasta. 5. Esimerkkidomain ================== ; ; IN.SOA field for zone example.com. ; @ IN SOA ns.example.com. nimimies.ns.example.com. ( 1010093 ; Serial 3600 ; Refresh 300 ; Retry 360000 ; Expire 3600 ) ; Minimum IN NS ns.example.com. IN NS ns.kaveri.net. IN A 192.168.42.1 IN MX 1 mail.example.com. IN MX 5 mail.kaveri.net. IN MX 10 mail.riisto-isp.com. ns.example.com. IN A 192.168.42.1 www IN CNAME ns mail IN CNAME ns www.example.com. IN A 192.168.42.2 wall.example.com. IN A 192.168.42.254 solamaatti.example.com. IN A 192.168.42.102 IN MX 1 solamaatti.example.com. IN HINFO "Kokisautomaatti" "Linux 2.2.2" pomonkone.example.com. IN A 192.168.42.42 kuitti.example.com. IN A 192.168.42.103 omakone.example.com. IN A 192.168.42.100 kehitys.example.com. IN A 192.168.42.101 orjankone.example.com. IN A 192.168.42.69 Ja käänteinen zone: ; ; reverse example.com (42.168.192.in-addr.arpa) ; @ IN SOA ns.example.com. nimimies.ns.example.com. ( 1010093 ; Serial 3600 ; Refresh 300 ; Retry 360000 ; Expire 3600 ) ; Minimum IN NS ns.example.com. IN NS ns.kaveri.net. IN A 192.168.42.1 IN MX 1 mail.example.com. IN MX 5 mail.kaveri.net. IN MX 10 mail.riisto-isp.com. 1 IN PTR ns.example.com. 42 IN PTR pomonkone.example.com. 69 IN PTR orjankone.example.com. 100 IN PTR omakone.example.com. 101 IN PTR kehitys.example.com. 102 IN PTR solamaatti.example.com. 103 IN PTR kuitti.example.com. 254 IN PTR wall.example.com.