Estoy intentando configurar un DNS recursivo que también tenga su propia zona usando bind.
Ahora quiero actualizarlo para usar dnssec pero, según tengo entendido, tengo que usar DLV si no tengo un nombre de dominio.
Sin embargo, las pocas guías que pude encontrar dicen que es necesario registrarse, dlv.isc.orglo cual no existe. Y un libro que estaba leyendo sobre DNSSEC dice que DLV iba a quedar obsoleto, por eso me lo pregunto. (También le agradeceríamos si conoce alguna guía paso a paso para configurarlo)
Respuesta1
Mientras el dlv.isc.orgservidor ya no se esté ejecutando, aún puede configurar otro servidor DNSSEC Lookaside en su configuración de Bind 9 a través deldnssec-lookasideopción. Si la clave example.comno se puede validar, se le agregará el nombre del servidor de búsqueda y la validación comenzará de nuevo con la clave confiable del servidor de búsqueda. No lo probé, pero creo que eso no resolverá su problema: un dominio privado como el lan.que se puede hoy en día puede validarse positivamente como inexistente, por lo que no se realizará la consulta de búsqueda.
Entonces, ¿qué se puede hacer para asegurar una lan.zona? Depende del uso:
- El servidor DNS que desea utilizar como ambosvalidando el solucionador recursivoy el servidor autorizado para la
lan.zona no requiere ninguna configuración adicional (supongo quednssec-validationya está activado):- Servirá la
lan.zona desde el archivo de zona y devolverá una respuesta.sinlaADbandera, - cuando llega una consulta para otros dominios, realizará una consulta recursiva, validará los resultados y solo si son válidos devolverá una respuestaconla
ADbandera. Si el dominio no se validaSERVFAILse emitirá un.
- Servirá la
- Elresolutores de trozos, que utilizan su servidor DNS, dependen del comportamiento de validación de su servidor DNS, por lo que se resolverán
lan.sin problemas. Sin embargo, dado que la comunicación entresolucionador de trozosy el servidor no está cifrado, los resultados se pueden modificar en tránsito. Puede utilizar firmas TSIG o TLS para protegerlo. - Elvalidar resolutores de trozosrequiere que agregueanclas de confianzaa su configuración.
Dudo que quieras configurar un servidor Bind9 en cadaclientemáquina para actuar comovalidando el solucionador de trozos(hay mejores alternativas comosystemd-resuelto,dnsmasqosin consolidar), pero si ese es el caso, primero debes recuperar la clave de tu lan.zona:
piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
Luego deberá agregar la clave como confiable, permitir consultas recursivas solo desde localhosty reenviar las solicitudes al servidor DNS "real" (digamos que está activado 192.168.0.1):
options {
directory "/var/cache/bind";
listen-on { localhost; };
listen-on-v6 { localhost; };
recursion yes;
allow-query { localhost; };
forwarders { 192.168.0.1; };
};
trusted-keys {
lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};
Al final solo necesitas agregar localhostcomo único servidor DNS en /etc/resolv.conf:
nameserver ::1;
Editar:systemd-resueltoLa configuración es aún más simple: simplemente agregue su DNSKEY a un archivo llamado /etc/dnssec-trust-anchors.d/<your_name>.positive:
lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
y forzar DNSSEC en /etc/systemd/resolved.conf:
DNSSEC=yes