dnssec의 DLV는 더 이상 사용되지 않습니까?

dlv.isc.org서버가 더 이상 실행되지 않는 동안에 도 다음을 통해 Bind 9 구성에서 다른 DNSSEC Lookaside 서버를 설정할 수 있습니다.dnssec-lookaside옵션. 키의 example.com유효성을 검사할 수 없는 경우에는 Lookaside 서버의 이름이 여기에 추가되고 Lookaside 서버의 신뢰할 수 있는 키에 대해 유효성 검사가 다시 시작됩니다. 테스트하지는 않았지만 문제가 해결되지 않을 것이라고 생각합니다. lan.요즘 개인 도메인은 존재하지 않는 것으로 확실하게 검증될 수 있으므로 예측 쿼리가 수행되지 않습니다.

그렇다면 영역을 보호하기 위해 무엇을 할 수 있습니까 lan.? 사용법에 따라 다릅니다.

1. 두 가지 모두로 사용하려는 DNS 서버재귀 해석기 검증해당 영역에 대한 권한 있는 서버에는 lan.추가 구성이 필요하지 않습니다( dnssec-validation이미 설정되어 있다고 가정합니다).
   • lan.영역 파일에서 영역을 제공 하고 답변을 반환합니다.없이깃발 AD,
   • 다른 도메인에 대한 쿼리가 들어오면 재귀 쿼리를 수행하고 결과를 검증하며 유효한 경우에만 답변을 반환합니다.~와 함께깃발 AD. 도메인이 검증되지 않으면 a SERVFAIL가 발급됩니다.
2. 그만큼스텁 리졸버lan., DNS 서버를 사용하는 경우 DNS 서버의 유효성 검사 동작에 의존하므로 문제 없이 해결됩니다 . 그러나 그 사이에 의사소통이 이루어졌기 때문에스텁 리졸버서버가 암호화되지 않은 경우 결과는 전송 중에 수정될 수 있습니다. TSIG 서명이나 TLS를 사용하여 보호할 수 있습니다.
3. 그만큼스텁 리졸버 검증추가하라고 요구한다신뢰할 수 있는 앵커그들의 구성에.

매번 Bind9 서버를 설정하고 싶은지 의심됩니다.고객역할을 하는 기계스텁 리졸버 검증 중(다음과 같은 더 나은 대안이 있습니다.시스템 해결,dnsmasq또는매여 있지 않은), 하지만 그런 경우에는 먼저 lan.영역에 대한 키를 검색해야 합니다.

piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

그런 다음 키를 신뢰할 수 있는 것으로 추가하고 localhost"실제" DNS 서버에서 재귀 쿼리를 허용하고 요청을 "on 192.168.0.1"으로 전달해야 합니다.

options {
    directory "/var/cache/bind";
    listen-on { localhost; };
    listen-on-v6 { localhost; };
    recursion yes;
    allow-query { localhost; };
    forwarders { 192.168.0.1; };
};
trusted-keys {
    lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};

마지막에는 다음 localhost의 유일한 DNS 서버로 추가하기만 하면 됩니다 /etc/resolv.conf.

nameserver ::1;

편집하다:시스템 해결구성은 훨씬 더 간단합니다. 다음 이름의 파일에 DNSKEY를 추가하기만 하면 됩니다 /etc/dnssec-trust-anchors.d/<your_name>.positive.

lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

DNSSEC를 강제로 실행합니다 /etc/systemd/resolved.conf.

DNSSEC=yes