Estou prestes a implantar DNSSEC para alguns dos meus domínios e enquanto me preparava fiz algumas leituras sobre o assunto. Me deparei com alguns artigos do Microsoft Technet falando sobreTabela de políticas de resolução de nomesque permite configurar clientes DNS do Windows parausar IPSecao se comunicar com o servidor DNS para fornecer integridade e (opcionalmente) autenticação.
Parece uma boa ideia de onde estou, mas, infelizmente, o NRPT é uma coisa exclusiva do Windows. Existe um equivalente no mundo Linux/OpenBSD? Ter DNSSEC e IPSec combinados parece ser a solução perfeita para administradores de servidores preocupados com segurança.
Responder1
Toda essa coisa do NRPT parece uma forma de trazerDNSSECum pouco em linha comCurva DNS, exceto que, em vez de ter um único padrão e especificação, como é o caso do próprio DNSCurve, eles estão simplesmente juntando um monte de padrões não relacionados em uma grande confusão de administração e configuração.
A implantação de DNSSEC para servidores recursivos e autoritativos são duas tarefas completamente diferentes.
O que exatamente você está tentando realizar? No mundo Linux e BSD, se você simplesmente deseja garantir que a verificação/validação de DNSSEC esteja ocorrendo, a melhor maneira de fazer isso é executar seu próprio resolvedor local recursivo ou de cache. Para alguns detalhes de como isso é feito, dê uma olhada nas mudanças recentes que foram feitas no próximo FreeBSD 10, onde foram introduzidas unbound
a árvore base, que, quando usada corretamente (por exemplo, se estiver definida como o único resolvedor disponível), não deve resolver nenhum nome de domínio que tenha DNSSEC ativado, mas que tenha registros que não estejam assinados corretamente, mas que deveriam ter sido assinados.
Tão longe quantoautoritárioservidores, se você quiser segurança e privacidade extras, sua melhor aposta é executar o DNSCurve como front-end e, possivelmente, ainda ter DNSSEC no back-end, se necessário.
Eu acho que porrecursivoDNS, você estaria fazendo exatamente a mesma coisa, mas o contrário: talvez configurar um local unbound
para ser um resolvedor de cache/verificação, que emitiria todas as suas consultas por meio de um resolvedor recursivo local com reconhecimento de DNSCurve, mas nunca de outra forma.
No entanto, em ambos os exemplos acima, acho que você está entrando em um território desconhecido.