DNSSEC und IPSec DNS-Server- und DNS-Client-Konfiguration

Question

Diese ganze NRPT-Sache klingt wie eine Möglichkeit,DNSSECetwas im Einklang mitDNS-Kurve, außer dass sie statt eines einzigen Standards und einer einzigen Spezifikation wie bei DNSCurve selbst einfach einen Haufen unabhängiger Standards und Spezifikationen zu einem großen Verwaltungs- und Konfigurationschaos zusammenwerfen.

Die Bereitstellung von DNSSEC für rekursive und autoritative Server sind zwei völlig unterschiedliche Aufgaben.

Was genau versuchen Sie zu erreichen? Wenn Sie in der Linux- und BSD-Welt einfach nur sicherstellen möchten, dass eine DNSSEC-Verifizierung/-Validierung stattfindet, ist es am besten, Ihren eigenen lokalen rekursiven oder zwischengespeicherten Resolver auszuführen. Weitere Einzelheiten dazu finden Sie in den jüngsten Änderungen, die am kommenden FreeBSD 10 vorgenommen wurden. Dort wurde unboundein Basisbaum eingeführt, der bei korrekter Verwendung (z. B. wenn er als einziger verfügbarer Resolver festgelegt ist) keine Domänennamen auflösen soll, bei denen DNSSEC aktiviert ist, die aber Datensätze enthalten, die nicht korrekt signiert sind, aber signiert sein sollten.

So weit wiemaßgebendWenn Sie zusätzliche Sicherheit und Privatsphäre wünschen, sollten Sie DNSCurve am besten als Front-End ausführen und bei Bedarf weiterhin DNSSEC im Back-End verwenden.

Ich denke fürrekursivDNS, Sie würden genau dasselbe tun, nur andersherum: Sie könnten beispielsweise einen lokalen Server unboundals Caching-/Verifizierungs-Resolver konfigurieren, der alle seine Abfragen über einen lokalen DNSCurve-fähigen rekursiven Resolver ausgibt, aber niemals anders.

Ich glaube jedoch, dass Sie in beiden der oben genannten Beispiele Neuland betreten.

Answer 1

Diese ganze NRPT-Sache klingt wie eine Möglichkeit,DNSSECetwas im Einklang mitDNS-Kurve, außer dass sie statt eines einzigen Standards und einer einzigen Spezifikation wie bei DNSCurve selbst einfach einen Haufen unabhängiger Standards und Spezifikationen zu einem großen Verwaltungs- und Konfigurationschaos zusammenwerfen.

Die Bereitstellung von DNSSEC für rekursive und autoritative Server sind zwei völlig unterschiedliche Aufgaben.

Was genau versuchen Sie zu erreichen? Wenn Sie in der Linux- und BSD-Welt einfach nur sicherstellen möchten, dass eine DNSSEC-Verifizierung/-Validierung stattfindet, ist es am besten, Ihren eigenen lokalen rekursiven oder zwischengespeicherten Resolver auszuführen. Weitere Einzelheiten dazu finden Sie in den jüngsten Änderungen, die am kommenden FreeBSD 10 vorgenommen wurden. Dort wurde unboundein Basisbaum eingeführt, der bei korrekter Verwendung (z. B. wenn er als einziger verfügbarer Resolver festgelegt ist) keine Domänennamen auflösen soll, bei denen DNSSEC aktiviert ist, die aber Datensätze enthalten, die nicht korrekt signiert sind, aber signiert sein sollten.

So weit wiemaßgebendWenn Sie zusätzliche Sicherheit und Privatsphäre wünschen, sollten Sie DNSCurve am besten als Front-End ausführen und bei Bedarf weiterhin DNSSEC im Back-End verwenden.

Ich denke fürrekursivDNS, Sie würden genau dasselbe tun, nur andersherum: Sie könnten beispielsweise einen lokalen Server unboundals Caching-/Verifizierungs-Resolver konfigurieren, der alle seine Abfragen über einen lokalen DNSCurve-fähigen rekursiven Resolver ausgibt, aber niemals anders.

Ich glaube jedoch, dass Sie in beiden der oben genannten Beispiele Neuland betreten.

DNSSEC und IPSec DNS-Server- und DNS-Client-Konfiguration

Antwort1

verwandte Informationen