내 도메인 중 일부에 DNSSEC를 배포하려고 하는데 준비하면서 해당 주제에 대해 몇 가지 읽었습니다. 나는 다음과 같은 Microsoft Technet 기사를 보았습니다.이름 확인 정책 테이블이를 통해 Windows DNS 클라이언트를 다음과 같이 구성할 수 있습니다.IPSec 사용무결성 및 (선택적으로) 인증을 제공하기 위해 DNS 서버와 통신할 때.
이것은 내가 앉아 있는 곳에서는 꽤 좋은 아이디어처럼 보이지만 아쉽게도 NRPT는 Windows 전용입니다. Linux/OpenBSD 세계에 이에 상응하는 것이 있습니까? DNSSEC와 IPSec를 함께 사용하는 것은 보안에 민감한 서버 관리자에게 완벽한 솔루션인 것 같습니다.
답변1
이 모든 NRPT는 다음을 가져오는 방법처럼 들립니다.DNSSEC어느 정도 일치함DNS곡선, DNSCurve 자체의 경우와 같이 단일 표준 및 사양을 갖는 대신 단순히 관련되지 않은 여러 항목을 함께 큰 관리 및 구성 혼란에 빠뜨리는 점을 제외하면.
재귀 서버와 권한 있는 서버에 DNSSEC를 배포하는 것은 완전히 다른 작업입니다.
정확히 무엇을 성취하려고 하시나요? Linux 및 BSD 세계에서 단순히 DNSSEC 확인/검증이 수행되는지 확인하려는 경우 이를 수행하는 가장 좋은 방법은 자체 로컬 재귀 또는 캐싱 확인자를 실행하는 것입니다. 수행 방법에 대한 자세한 내용은 곧 출시될 FreeBSD 10에 적용된 최근 변경 사항을 살펴보세요. unbound기본 트리에 도입된 내용입니다. 올바르게 사용하면(예: 사용 가능한 유일한 확인자로 설정된 경우) DNSSEC가 활성화되어 있지만 올바르게 서명되지 않았지만 서명된 것으로 예상되는 레코드가 있는 도메인 이름을 확인하도록 되어 있지 않습니다.
한권위 있는서버가 작동하는 경우 추가 보안과 개인 정보 보호를 원할 경우 가장 좋은 방법은 DNSCurve를 프런트 엔드로 실행하고 필요한 경우 백엔드에 여전히 DNSSEC를 두는 것입니다.
내 생각엔재귀적DNS의 경우 정확히 동일한 작업을 수행하지만 그 반대의 경우도 있습니다. unbound로컬 DNSCurve 인식 재귀 확인자를 통해 모든 쿼리를 발행하는 캐싱/확인 확인자로 로컬을 구성할 수 있지만 그렇지 않은 경우에는 그렇지 않을 수 있습니다.
그러나 위의 두 예 모두 미지의 영역에 거의 들어섰다고 생각합니다.