• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Добро пожаловать! Ваш IP-адрес: ec2-54-198-108-19.compute-1.amazonaws.com

    dnssec

    Настройка BIND в режиме кэширующего DNS сервера с использованием DNSSEC

    Для начала заставим BIND проверять полученные с определенной зоны данные, в результате клиенты которые будут использовать этот DNS сервер, будут защищены от подмены. Примеры буду показывать на основе Ubuntu. Устанавливаем BIND.
    $ sudo apt-get install bind9

    При самостоятельной сборке BIND необходимо активировать флаг “--with-openssl”.
    После установки в /etc/bind/named.conf (в Ubuntu секция options вынесена в named.conf.options) добавляем следующие параметры:

    options {
    dnssec-enable yes; # активируется поддержка DNSSEC
    dnssec-validation yes; # включается только для неавторитативного сервера
    };

    Далее необходимо сконфигурировать доверенные якоря (trust anchor) для тех зон/доменов, которые будут проверяться. Узнать нужный публичный ключ можно разными способами. Самый простой получить при помощи dig из DNS (как это показано выше), но в этом случае нужно четко знать, что ключ принадлежит именно тому, кому нужно. Проверить затем полученный ключ можно зайдя на один из сайтов зоны. Сегодня также доступны специальные сервисы в которых администраторы размещают trust anchor своих доменов [9]. Далее заносим анкоры в файл в секцию trusted-keys файла named.conf:

    Подробнее...