Estou tentando configurar um DNS recursivo que também tenha sua própria zona usando bind.
Agora quero atualizá-lo para usar dnssec, mas pelo que entendi, preciso usar DLV se não possuir um nome de domínio.
Porém os poucos guias que encontrei dizem que você precisa se inscrever em dlv.isc.orgalgo que não existe. E um livro que eu estava lendo sobre DNSSEC diz que o DLV ficaria obsoleto, é por isso que estou pensando. (Se você conhece algum guia passo a passo para configurá-lo, também agradeceríamos)
Responder1
Enquanto o dlv.isc.orgservidor não estiver mais em execução, você ainda pode definir outro servidor DNSSEC Lookaside na configuração do Bind 9 por meio dodnssec-lookasideopção. Se a chave example.comnão puder ser validada, o nome do servidor lookaside será anexado a ela e a validação será reiniciada na chave confiável do servidor lookaside. Não testei, mas acredito que isso não resolverá o seu problema: um domínio privado como lan.pode hoje em dia ser validado positivamente como inexistente, portanto a consulta lookaside não será realizada.
Então, o que pode ser feito para proteger uma lan.zona? Depende do uso:
- O servidor DNS, que você deseja usar como ambosvalidando resolvedor recursivoe o servidor autoritativo para a
lan.zona não requer nenhuma configuração adicional (presumo quednssec-validationjá esteja ativado):- ele servirá a
lan.zona do arquivo de zona e retornará uma respostasemaADbandeira, - quando chegar uma consulta para outros domínios, ele fará uma consulta recursiva, validará os resultados e somente se forem válidos retornará uma respostacoma
ADbandeira. Se o domínio não for validado, umSERVFAILserá emitido.
- ele servirá a
- Oresolvedores de stub, que usam seu servidor DNS, dependem do comportamento de validação do seu servidor DNS, para que sejam resolvidos
lan.sem problemas. No entanto, uma vez que a comunicação entreresolvedor de stube o servidor não estiver criptografado, os resultados poderão ser modificados em trânsito. Você pode usar assinaturas TSIG ou TLS para protegê-lo. - Ovalidando resolvedores de stubexigir que você adicioneâncoras confiáveisà sua configuração.
Duvido que você queira configurar um servidor Bind9 em cadaclientemáquina para funcionar comovalidando o resolvedor de stub(existem alternativas melhores comoresolvido pelo systemd,dnsmasqounão vinculado), mas se for esse o caso, você precisa primeiro recuperar a chave da sua lan.zona:
piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
Então você precisará adicionar a chave como confiável, permitir consultas recursivas apenas localhoste encaminhar as solicitações para o servidor DNS "real" (digamos que esteja ativado 192.168.0.1):
options {
directory "/var/cache/bind";
listen-on { localhost; };
listen-on-v6 { localhost; };
recursion yes;
allow-query { localhost; };
forwarders { 192.168.0.1; };
};
trusted-keys {
lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};
No final você só precisa adicionar localhostcomo único servidor DNS em /etc/resolv.conf:
nameserver ::1;
Editar:resolvido pelo systemda configuração é ainda mais simples: basta adicionar sua DNSKEY a um arquivo chamado /etc/dnssec-trust-anchors.d/<your_name>.positive:
lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==
e forçar DNSSEC em /etc/systemd/resolved.conf:
DNSSEC=yes