Ich bin dabei, DNSSEC für einige meiner Domänen bereitzustellen, und während ich mich darauf vorbereitete, habe ich mich ein wenig mit dem Thema befasst. Ich bin auf einige Microsoft Technet-Artikel gestoßen, in denen es um Folgendes geht:Richtlinientabelle zur NamensauflösungDamit können Windows DNS-Clients so konfiguriert werden,IPSec verwendenbei der Kommunikation mit dem DNS-Server, um Integrität und (optional) Authentifizierung sicherzustellen.
Von meinem Standpunkt aus scheint das eine ziemlich gute Idee zu sein, aber leider ist das NRPT nur für Windows verfügbar. Gibt es ein Äquivalent in der Linux-/OpenBSD-Welt? Eine Kombination aus DNSSEC und IPSec scheint für sicherheitsbewusste Serveradministratoren die perfekte Lösung zu sein.
Antwort1
Diese ganze NRPT-Sache klingt wie eine Möglichkeit,DNSSECetwas im Einklang mitDNS-Kurve, außer dass sie statt eines einzigen Standards und einer einzigen Spezifikation wie bei DNSCurve selbst einfach einen Haufen unabhängiger Standards und Spezifikationen zu einem großen Verwaltungs- und Konfigurationschaos zusammenwerfen.
Die Bereitstellung von DNSSEC für rekursive und autoritative Server sind zwei völlig unterschiedliche Aufgaben.
Was genau versuchen Sie zu erreichen? Wenn Sie in der Linux- und BSD-Welt einfach nur sicherstellen möchten, dass eine DNSSEC-Verifizierung/-Validierung stattfindet, ist es am besten, Ihren eigenen lokalen rekursiven oder zwischengespeicherten Resolver auszuführen. Weitere Einzelheiten dazu finden Sie in den jüngsten Änderungen, die am kommenden FreeBSD 10 vorgenommen wurden. Dort wurde unbound
ein Basisbaum eingeführt, der bei korrekter Verwendung (z. B. wenn er als einziger verfügbarer Resolver festgelegt ist) keine Domänennamen auflösen soll, bei denen DNSSEC aktiviert ist, die aber Datensätze enthalten, die nicht korrekt signiert sind, aber signiert sein sollten.
So weit wiemaßgebendWenn Sie zusätzliche Sicherheit und Privatsphäre wünschen, sollten Sie DNSCurve am besten als Front-End ausführen und bei Bedarf weiterhin DNSSEC im Back-End verwenden.
Ich denke fürrekursivDNS, Sie würden genau dasselbe tun, nur andersherum: Sie könnten beispielsweise einen lokalen Server unbound
als Caching-/Verifizierungs-Resolver konfigurieren, der alle seine Abfragen über einen lokalen DNSCurve-fähigen rekursiven Resolver ausgibt, aber niemals anders.
Ich glaube jedoch, dass Sie in beiden der oben genannten Beispiele Neuland betreten.