PERFORCE change 195778 for review

Rene Ladan rene at FreeBSD.org
Tue Jul 5 21:20:15 UTC 2011 

http://p4web.freebsd.org/@@195778?ac=10

Change 195778 by rene at rene_acer on 2011/07/05 21:20:14

	Checkpoint for network-servers 1.130 -> 1.134 update

Affected files ...

.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 edit

Differences ...

==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 (text+ko) ====

@@ -4185,6 +4185,112 @@
     </sect2>
 
     <sect2>
+      <title><acronym
+	role="Domain Name Security Extensions">DNSSEC</acronym></title>
+
+      <indexterm>
+	<primary>BIND</primary>
+
+	<secondary>DNS veiligheidsuitbreidingen</secondary>
+      </indexterm>
+
+      <para>Domain Name Security System Extentions, ofwel <acronym
+	  role="Domain Name Security Extensions">DNSSEC</acronym>, is een
+	verzameling van specificaties om resolvende naamservers te beschermen
+	tegen valse <acronym>DNS</acronym>-gegevens, zoals vervalste
+	<acronym>DNS</acronym>-records.  Door digitale handtekeningen te
+	gebruiken kan een resolver de integriteit van een record controleren.
+	Merk op dat <acronym role="Domain Name Security Extensions">DNSSEC</acronym>
+	alleen integriteit biedt via het digitaal ondertekenen van de Resource
+	Record (<acronym role="Resouce Record">RR</acronym>s).  Het biedt noch
+	betrouwbaarheid noch bescherming tegen onjuiste aannames van
+	eindgebruikers.  Dit betekent dat het mensen niet kan beschermen tegen
+	het bezoeken van <hostid role="domainname">voorbeeld.net</hostid> in
+	plaats van <hostid role="domainname">voorbeeld.com</hostid>.  Het enige
+	wat <acronym>DNSSEC</acronym> doet is authenticeren dat de gegevens
+	niet tijdens het transport zijn gecompromitteerd.  De beveiliging van
+	<acronym>DNSSEC</acronym> is een belangrijke stap in het beveiligen van
+	het internet in het algemeen.  De relevante <acronym>RFC</acronym>s zijn
+	een goed beginpunt voor meer gedetailleerde gegevens over hoe
+	<acronym>DNSSEC</acronym> werkt.  Raadpleeg de lijst in
+	<xref linkend="dns-read">.</para>
+
+     <para>De volgende secties laten zien hoe <acronym>DNSSEC</acronym> voor een
+	autoratieve <acronym>DNS</acronym>-server en een recursieve (of caching)
+	<acronym>DNS</acronym>-server die <acronym>BIND</acronym> 9 draait kan
+	worden bewerkstelligd.  Hoewel alle versies van <acronym>BIND</acronym>
+	9 <acronym>DNSSEC</acronym> ondersteunen, is tenminste versie 9.6.2
+	nodig om gebruik te kunnen maken van de ondertekende rootzones tijdens
+	het valideren van <acronym>DNS</acronym>-verzoeken.  Dit komt doordat
+	eerdere versies de benodigde algoritmes om validatie met de sleutel
+	voor de rootzone te uit te veoren niet hebben.  Het wordt sterk
+	aangeraden om de nieuwste versie van <acronym>BIND</acronym> 9.7 te
+	gebruiken om gebruik te kunnen maken van automatische sleutel-updates
+	voor de rootsleutel en van andere mogelijkheden om zones ondertekend en
+	sleutel up-to-date te houden.  Wanneer configuraties tussen 9.6.2 en 9.7
+	en later verschillen, zullen deze worden toegelicht.</para>
+
+      <sect3>
+	<title>Configuratie van een recursieve
+	  <acronym>DNS</acronym>-server</title>
+
+	<para>Het aanzetten van <acronym>DNSSEC</acronym>-validatie van
+	  verzoeken die door een recursieve <acronym>DNS</acronym>-server worden
+	  uitgevoerd heeft enkele aanpassingen aan
+	  <filename>named.conf</filename> nodig.  Voordat deze wijzigingen
+	  worden worden gemaakt dient de rootzone-sleutel, of vertrouwensanker,
+	  worden opgehaald.  Momenteel is de rootzone-sleutel niet beschikbaar
+	  in een bestandsformaat dat <acronym>BIND</acronym> begrijpt, dus moet
+	  het handmatig in het juiste formaat omgezet worden.  De sleutel zelf
+	  kan verkregen worden door de rootzone ervoor met
+	  <application>dig</application> te ondervragen.  Door</para>
+
+	<screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . &gt; root.dnskey</userinput></screen>
+
+	<para>te draaien, wordt de sleutel in <filename>root.dnskey</filename>
+	  opgeslagen.  De inhoud dient er ongeveer als volgt uit te zien:</para>
+
+	<programlisting>. 93910 IN DNSKEY 257 3 8 (
+	AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
+	bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
+	/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
+	JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
+	oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
+	LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
+	Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
+	LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
+	) ; key id = 19036
+. 93910 IN DNSKEY 256 3 8 (
+	AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf
+	UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE
+	g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V
+	EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt
+	) ; key id = 34525</programlisting>
+
+	<para>Schrik niet als de verkregen sleutels anders zijn dan in dit
+	  voorbeeld.  Ze kunnen zijn veranderd nadat deze instructies voor het
+	  laatst waren bijgewerkt.  De uitvoer bevat in feite twee sleutels.  De
+	  eerste sleutel, met de waarde 257 na het DNSKEY-recordtype, is degene
+	  die nodig is.  Deze waarde geeft aan dat dit een Secure Entry Point (
+	  <acronym role="Secure Entry Point">SEP</acronym>) is, beter bekend als
+	  een Key Signing Key (<acronym role="Key Signing Key">KSK</acronym>).
+	  De tweede sleutel, met de waarde 256, is een deelsleutel, beter bekend
+	  als een Zone Signing Key (<acronym
+	    role="Zone Signing Key">ZSK</acronym>).  Meer over de verschillende
+	  soorten sleutels komt aan bod in <xref
+	    linkend="dns-dnssec-auth">.</para>
+<!-- rene hier-->
+      </sect3>
+
+<!--rene keep build alive-->
+      <sect3 id="dns-dnssec-auth">
+	<title>Configuratie van een autoratieve
+	  <acronym>DNS</acronym>-server</title>
+	<para/>
+      </sect3>
+    </sect2>
+
+    <sect2>
       <title>Beveiliging</title>
 
       <para>Hoewel BIND de meest gebruikte implementatie van DNS is, is

More information about the p4-projects mailing list