J3qx

information archive

Archive for 29.09.2012

DNSSEC в Windows Server 2008 R2 – функционал и использование

Posted by j3qx на 29 сентября, 2012

DNSSEC в Windows Server 2008 R2 – функционал и использование

Привет.

Введение

Технология DNSSEC существует достаточно давно и реализована в Windows Server 2008 R2 и Windows 7. Не идеально, но реализована.
Но пользуются ей (в основном из-за смутности её плюсов и пугающей своей неочевидностью настройки) единицы.
За последний год я использовал эту технологию в двух проектах, и после устного общения с коллегами (которые в большинстве своём в IT далеко не первый год) выяснил, что DNSSEC вообще является мёртвой зоной – она вроде есть в плане технической реализации, но её вроде и нет. В enterprise её вообще не заметно, разве что только у малой части провайдеров (например, в рунете я нашёл только одного регистратора – R01, который декларирует поддержку DNSSEC для доменов).

Это нужно исправлять, так как в DNS достаточно много негатива, который не лечится совсем, либо для которого существуют “костыльные” решения.
Я предполагаю, что Вы знаете, как работает обычный DNS, плюс прочитали статью про обеспечение безопасности DNS на Windows Server 2008R2. Если ещё не сделали это – сейчас самое время.

Все записи DNS, IP-адреса и прочие выбраны случайно и не имеют никакого отношения к реальности. Совпадения случайны. Цель придумывания этих значений – наглядность изложения и упрощение понимания технологии DNSSEC. Их (имена записей и IP-адреса) не надо добуквенно копировать к себе, а потом удивляться артефактам поведения системы DNS. Я предупредил.

Оглавление

  • Что делает DNSSEC
  • Не рано ли внедрять DNSSEC?
  • Как работает DNSSEC
  • DNSSEC и логика кэширования
  • Терминология DNSSEC
    • Записи SIG и RRSIG
    • Записи NXT и NSEC
    • Запись NSEC3
    • Ключевые пары – ZSK и KSK
    • Записи DNSKEY, они же “Якори доверия”, они же trust anchors
    • Записи DS
    • Записи DLV – “подстраховка”
  • Включаем DNSSEC: Создаём ключи
    • Создание ключей защиты ключей (KSK)
    • Создание ключевой пары для зоны (ZSK)
    • Резервное копирование ключей DNSSEC
  • Включаем DNSSEC: Операции с DNS-зонами
    • Подписываем зону
    • Распространяем её trust anchor’ы
  • Включаем DNSSEC: Подготавливаем DNS-сервера
  • DNSSEC: Настройки со стороны клиентов (NRPT)
  • Тестируем DNSSEC

Что делает DNSSEC

Ключевой задачей DNSSEC является построение доверенной инфраструктуры разрешения имён в Интернете. То есть и запросы и ответы сервера (как с данными, так и негативные) должны быть авторизованы.

Примечание: Сразу уточним – конфиденциальность данных (т.е. шифрование оных) не является целью DNSSEC, но может реализовываться как дополнительная мера безопасности. Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , | Leave a Comment »