From owner-p4-projects@FreeBSD.ORG  Tue Jul  5 21:20:14 2011
Return-Path: <owner-p4-projects@FreeBSD.ORG>
Delivered-To: p4-projects@freebsd.org
Received: by hub.freebsd.org (Postfix, from userid 32767)
	id D30741065670; Tue,  5 Jul 2011 21:20:14 +0000 (UTC)
Delivered-To: perforce@FreeBSD.org
Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34])
	by hub.freebsd.org (Postfix) with ESMTP id 9430B106564A
	for <perforce@FreeBSD.org>; Tue,  5 Jul 2011 21:20:14 +0000 (UTC)
	(envelope-from rene@FreeBSD.org)
Received: from skunkworks.freebsd.org (skunkworks.freebsd.org
	[IPv6:2001:4f8:fff6::2d])
	by mx1.freebsd.org (Postfix) with ESMTP id 832068FC1C
	for <perforce@FreeBSD.org>; Tue,  5 Jul 2011 21:20:14 +0000 (UTC)
Received: from skunkworks.freebsd.org (localhost [127.0.0.1])
	by skunkworks.freebsd.org (8.14.4/8.14.4) with ESMTP id p65LKEPv096471
	for <perforce@FreeBSD.org>; Tue, 5 Jul 2011 21:20:14 GMT
	(envelope-from rene@FreeBSD.org)
Received: (from perforce@localhost)
	by skunkworks.freebsd.org (8.14.4/8.14.4/Submit) id p65LKE2s096467
	for perforce@freebsd.org; Tue, 5 Jul 2011 21:20:14 GMT
	(envelope-from rene@FreeBSD.org)
Date: Tue, 5 Jul 2011 21:20:14 GMT
Message-Id: <201107052120.p65LKE2s096467@skunkworks.freebsd.org>
X-Authentication-Warning: skunkworks.freebsd.org: perforce set sender to
	rene@FreeBSD.org using -f
From: Rene Ladan <rene@FreeBSD.org>
To: Perforce Change Reviews <perforce@FreeBSD.org>
Precedence: bulk
Cc: 
Subject: PERFORCE change 195778 for review
X-BeenThere: p4-projects@freebsd.org
X-Mailman-Version: 2.1.5
List-Id: p4 projects tree changes <p4-projects.freebsd.org>
List-Unsubscribe: <http://lists.freebsd.org/mailman/listinfo/p4-projects>,
	<mailto:p4-projects-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/p4-projects>
List-Post: <mailto:p4-projects@freebsd.org>
List-Help: <mailto:p4-projects-request@freebsd.org?subject=help>
List-Subscribe: <http://lists.freebsd.org/mailman/listinfo/p4-projects>,
	<mailto:p4-projects-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Tue, 05 Jul 2011 21:20:15 -0000

http://p4web.freebsd.org/@@195778?ac=10

Change 195778 by rene@rene_acer on 2011/07/05 21:20:14

	Checkpoint for network-servers 1.130 -> 1.134 update

Affected files ...

.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 edit

Differences ...

==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 (text+ko) ====

@@ -4185,6 +4185,112 @@
     </sect2>
 
     <sect2>
+      <title><acronym
+	role="Domain Name Security Extensions">DNSSEC</acronym></title>
+
+      <indexterm>
+	<primary>BIND</primary>
+
+	<secondary>DNS veiligheidsuitbreidingen</secondary>
+      </indexterm>
+
+      <para>Domain Name Security System Extentions, ofwel <acronym
+	  role="Domain Name Security Extensions">DNSSEC</acronym>, is een
+	verzameling van specificaties om resolvende naamservers te beschermen
+	tegen valse <acronym>DNS</acronym>-gegevens, zoals vervalste
+	<acronym>DNS</acronym>-records.  Door digitale handtekeningen te
+	gebruiken kan een resolver de integriteit van een record controleren.
+	Merk op dat <acronym role="Domain Name Security Extensions">DNSSEC</acronym>
+	alleen integriteit biedt via het digitaal ondertekenen van de Resource
+	Record (<acronym role="Resouce Record">RR</acronym>s).  Het biedt noch
+	betrouwbaarheid noch bescherming tegen onjuiste aannames van
+	eindgebruikers.  Dit betekent dat het mensen niet kan beschermen tegen
+	het bezoeken van <hostid role="domainname">voorbeeld.net</hostid> in
+	plaats van <hostid role="domainname">voorbeeld.com</hostid>.  Het enige
+	wat <acronym>DNSSEC</acronym> doet is authenticeren dat de gegevens
+	niet tijdens het transport zijn gecompromitteerd.  De beveiliging van
+	<acronym>DNSSEC</acronym> is een belangrijke stap in het beveiligen van
+	het internet in het algemeen.  De relevante <acronym>RFC</acronym>s zijn
+	een goed beginpunt voor meer gedetailleerde gegevens over hoe
+	<acronym>DNSSEC</acronym> werkt.  Raadpleeg de lijst in
+	<xref linkend="dns-read">.</para>
+
+     <para>De volgende secties laten zien hoe <acronym>DNSSEC</acronym> voor een
+	autoratieve <acronym>DNS</acronym>-server en een recursieve (of caching)
+	<acronym>DNS</acronym>-server die <acronym>BIND</acronym> 9 draait kan
+	worden bewerkstelligd.  Hoewel alle versies van <acronym>BIND</acronym>
+	9 <acronym>DNSSEC</acronym> ondersteunen, is tenminste versie 9.6.2
+	nodig om gebruik te kunnen maken van de ondertekende rootzones tijdens
+	het valideren van <acronym>DNS</acronym>-verzoeken.  Dit komt doordat
+	eerdere versies de benodigde algoritmes om validatie met de sleutel
+	voor de rootzone te uit te veoren niet hebben.  Het wordt sterk
+	aangeraden om de nieuwste versie van <acronym>BIND</acronym> 9.7 te
+	gebruiken om gebruik te kunnen maken van automatische sleutel-updates
+	voor de rootsleutel en van andere mogelijkheden om zones ondertekend en
+	sleutel up-to-date te houden.  Wanneer configuraties tussen 9.6.2 en 9.7
+	en later verschillen, zullen deze worden toegelicht.</para>
+
+      <sect3>
+	<title>Configuratie van een recursieve
+	  <acronym>DNS</acronym>-server</title>
+
+	<para>Het aanzetten van <acronym>DNSSEC</acronym>-validatie van
+	  verzoeken die door een recursieve <acronym>DNS</acronym>-server worden
+	  uitgevoerd heeft enkele aanpassingen aan
+	  <filename>named.conf</filename> nodig.  Voordat deze wijzigingen
+	  worden worden gemaakt dient de rootzone-sleutel, of vertrouwensanker,
+	  worden opgehaald.  Momenteel is de rootzone-sleutel niet beschikbaar
+	  in een bestandsformaat dat <acronym>BIND</acronym> begrijpt, dus moet
+	  het handmatig in het juiste formaat omgezet worden.  De sleutel zelf
+	  kan verkregen worden door de rootzone ervoor met
+	  <application>dig</application> te ondervragen.  Door</para>
+
+	<screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . &gt; root.dnskey</userinput></screen>
+
+	<para>te draaien, wordt de sleutel in <filename>root.dnskey</filename>
+	  opgeslagen.  De inhoud dient er ongeveer als volgt uit te zien:</para>
+
+	<programlisting>. 93910 IN DNSKEY 257 3 8 (
+	AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
+	bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
+	/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
+	JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
+	oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
+	LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
+	Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
+	LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
+	) ; key id = 19036
+. 93910 IN DNSKEY 256 3 8 (
+	AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf
+	UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE
+	g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V
+	EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt
+	) ; key id = 34525</programlisting>
+
+	<para>Schrik niet als de verkregen sleutels anders zijn dan in dit
+	  voorbeeld.  Ze kunnen zijn veranderd nadat deze instructies voor het
+	  laatst waren bijgewerkt.  De uitvoer bevat in feite twee sleutels.  De
+	  eerste sleutel, met de waarde 257 na het DNSKEY-recordtype, is degene
+	  die nodig is.  Deze waarde geeft aan dat dit een Secure Entry Point (
+	  <acronym role="Secure Entry Point">SEP</acronym>) is, beter bekend als
+	  een Key Signing Key (<acronym role="Key Signing Key">KSK</acronym>).
+	  De tweede sleutel, met de waarde 256, is een deelsleutel, beter bekend
+	  als een Zone Signing Key (<acronym
+	    role="Zone Signing Key">ZSK</acronym>).  Meer over de verschillende
+	  soorten sleutels komt aan bod in <xref
+	    linkend="dns-dnssec-auth">.</para>
+<!-- rene hier-->
+      </sect3>
+
+<!--rene keep build alive-->
+      <sect3 id="dns-dnssec-auth">
+	<title>Configuratie van een autoratieve
+	  <acronym>DNS</acronym>-server</title>
+	<para/>
+      </sect3>
+    </sect2>
+
+    <sect2>
       <title>Beveiliging</title>
 
       <para>Hoewel BIND de meest gebruikte implementatie van DNS is, is