Ich versuche, mithilfe von Bind einen rekursiven DNS einzurichten, der auch über eine eigene Zone verfügt.
Jetzt möchte ich es aktualisieren, um DNSsec zu verwenden, aber soweit ich verstanden habe, muss ich DLV verwenden, wenn ich keinen Domänennamen besitze.
In den wenigen Anleitungen, die ich finden konnte, steht jedoch, dass man sich anmelden muss, dlv.isc.orgwas es nicht gibt. Und in einem Buch über DNSSEC, das ich gelesen habe, steht, dass DLV veraltet sein wird, deshalb frage ich mich. (Wenn Sie eine Schritt-für-Schritt-Anleitung zur Einrichtung kennen, wäre ich auch dankbar.)
Antwort1
Während der dlv.isc.orgServer nicht mehr läuft, können Sie in Ihrer Bind 9-Konfiguration immer noch einen anderen DNSSEC Lookaside-Server einrichten über denDNSSec-LookasideOption. Wenn der Schlüssel example.comnicht validiert werden kann, wird der Name des Lookaside-Servers angehängt und die Validierung wird mit dem vertrauenswürdigen Schlüssel des Lookaside-Servers neu gestartet. Ich habe es nicht getestet, aber ich glaube, das wird Ihr Problem nicht lösen: Eine private Domäne, wie sie lan.heutzutage existiert, kann eindeutig als nicht existent validiert werden, sodass die Lookaside-Abfrage nicht ausgeführt wird.
Was kann also getan werden, um eine lan.Zone zu sichern? Das hängt von der Nutzung ab:
- Der DNS-Server, den Sie sowohl alsValidieren des rekursiven Resolversund der autoritative Server für die
lan.Zone erfordert keine zusätzliche Konfiguration (ich gehe davon aus, dass erdnssec-validationbereits aktiviert ist):lan.Es wird die Zone aus der Zonendatei bedienen und eine Antwort zurückgebenohnedieADFlagge,- Wenn eine Abfrage für andere Domänen eingeht, führt es eine rekursive Abfrage durch, validiert die Ergebnisse und gibt nur dann eine Antwort zurück, wenn sie gültig sindmitdie
ADFlagge. Wenn die Domäne nicht validiert wird,SERVFAILwird ein ausgegeben.
- DerStub-Resolver, die Ihren DNS-Server verwenden, verlassen sich auf das Validierungsverhalten Ihres DNS-Servers, sodass sie
lan.ohne Probleme aufgelöst werden. Da jedoch die Kommunikation zwischenStub-Resolverund der Server ist unverschlüsselt, die Ergebnisse können während der Übertragung geändert werden. Sie können TSIG-Signaturen oder TLS verwenden, um sie zu schützen. - DerValidieren von Stub-Resolvernerfordern, dass Sie hinzufügenVertrauenswürdige Ankerzu ihrer Konfiguration.
Ich bezweifle, dass Sie einen Bind9-Server auf jedemKlientMaschine alsValidierender Stub-Resolver(es gibt bessere Alternativen wiesystemd-aufgelöst,DNS-MASQoderungebunden), aber in diesem Fall müssen Sie zuerst den Schlüssel für Ihre lan.Zone abrufen:
piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
Anschließend müssen Sie den Schlüssel als vertrauenswürdig hinzufügen, nur rekursive Abfragen zulassen localhostund die Anfragen an den „echten“ DNS-Server weiterleiten (sagen wir, er ist eingeschaltet 192.168.0.1):
options {
directory "/var/cache/bind";
listen-on { localhost; };
listen-on-v6 { localhost; };
recursion yes;
allow-query { localhost; };
forwarders { 192.168.0.1; };
};
trusted-keys {
lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};
Am Ende müssen Sie nur noch localhostals einzigen DNS-Server Folgendes hinzufügen /etc/resolv.conf:
nameserver ::1;
Bearbeiten:systemd-aufgelöstDie Konfiguration ist noch einfacher: Fügen Sie einfach Ihren DNSKEY zu einer Datei mit dem Namen hinzu /etc/dnssec-trust-anchors.d/<your_name>.positive:
lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
und erzwinge DNSSEC in /etc/systemd/resolved.conf:
DNSSEC=yes