DNSSEC в Windows Server 2008 R2 – функционал и использование
Привет.
Введение
Технология DNSSEC существует достаточно давно и реализована в Windows Server 2008 R2 и Windows 7. Не идеально, но реализована.
Но пользуются ей (в основном из-за смутности её плюсов и пугающей своей неочевидностью настройки) единицы.
За последний год я использовал эту технологию в двух проектах, и после устного общения с коллегами (которые в большинстве своём в IT далеко не первый год) выяснил, что DNSSEC вообще является мёртвой зоной – она вроде есть в плане технической реализации, но её вроде и нет. В enterprise её вообще не заметно, разве что только у малой части провайдеров (например, в рунете я нашёл только одного регистратора – R01, который декларирует поддержку DNSSEC для доменов).
Это нужно исправлять, так как в DNS достаточно много негатива, который не лечится совсем, либо для которого существуют “костыльные” решения.
Я предполагаю, что Вы знаете, как работает обычный DNS, плюс прочитали статью про обеспечение безопасности DNS на Windows Server 2008R2. Если ещё не сделали это – сейчас самое время.
Все записи DNS, IP-адреса и прочие выбраны случайно и не имеют никакого отношения к реальности. Совпадения случайны. Цель придумывания этих значений – наглядность изложения и упрощение понимания технологии DNSSEC. Их (имена записей и IP-адреса) не надо добуквенно копировать к себе, а потом удивляться артефактам поведения системы DNS. Я предупредил.
Оглавление
- Что делает DNSSEC
- Не рано ли внедрять DNSSEC?
- Как работает DNSSEC
- DNSSEC и логика кэширования
- Терминология DNSSEC
- Записи SIG и RRSIG
- Записи NXT и NSEC
- Запись NSEC3
- Ключевые пары – ZSK и KSK
- Записи DNSKEY, они же “Якори доверия”, они же trust anchors
- Записи DS
- Записи DLV – “подстраховка”
- Включаем DNSSEC: Создаём ключи
- Создание ключей защиты ключей (KSK)
- Создание ключевой пары для зоны (ZSK)
- Резервное копирование ключей DNSSEC
- Включаем DNSSEC: Операции с DNS-зонами
- Подписываем зону
- Распространяем её trust anchor’ы
- Включаем DNSSEC: Подготавливаем DNS-сервера
- DNSSEC: Настройки со стороны клиентов (NRPT)
- Тестируем DNSSEC
Что делает DNSSEC
Ключевой задачей DNSSEC является построение доверенной инфраструктуры разрешения имён в Интернете. То есть и запросы и ответы сервера (как с данными, так и негативные) должны быть авторизованы.
Примечание: Сразу уточним – конфиденциальность данных (т.е. шифрование оных) не является целью DNSSEC, но может реализовываться как дополнительная мера безопасности. Читать далее…