Конфигурация DNS-сервера и DNS-клиента DNSSEC и IPSec

Question

Вся эта история с NRPT звучит как способ привлечьDNSSECв некоторой степени соответствуетDNSCurve, за исключением того, что вместо единого стандарта и спецификации, как в случае с DNSCurve, они просто смешивают множество не связанных между собой стандартов, создавая большую путаницу в администрировании и настройке.

Развертывание DNSSEC для рекурсивных и авторитарных серверов — это две совершенно разные задачи.

Чего именно вы пытаетесь добиться? В мире Linux и BSD, если вы просто хотите убедиться, что проверка/валидация DNSSEC происходит, лучшим способом сделать это будет запустить свой собственный локальный рекурсивный или кэширующий резолвер. Для некоторых подробностей о том, как это делается, взгляните на недавние изменения, которые были сделаны в предстоящей FreeBSD 10, где они представили unboundбазовое дерево, которое при правильном использовании (например, если оно установлено как единственный доступный резолвер) не должно разрешать какие-либо доменные имена с включенным DNSSEC, но с записями, которые не подписаны правильно, но которые должны были быть подписаны.

НасколькоавторитетныйЕсли вам нужна дополнительная безопасность и конфиденциальность, лучшим вариантом будет запустить DNSCurve в качестве интерфейса и, возможно, оставить DNSSEC в бэкэнде, если это необходимо.

Я думаю, длярекурсивныйDNS, вы бы сделали то же самое, но наоборот: возможно, настроили бы локальный сервер unboundкак кэширующий/проверяющий преобразователь, который бы отправлял все свои запросы через локальный рекурсивный преобразователь с поддержкой DNSCurve, но никак иначе.

Однако в обоих приведенных выше примерах, я думаю, вы вступаете на неизведанную территорию.

Answer 1

Вся эта история с NRPT звучит как способ привлечьDNSSECв некоторой степени соответствуетDNSCurve, за исключением того, что вместо единого стандарта и спецификации, как в случае с DNSCurve, они просто смешивают множество не связанных между собой стандартов, создавая большую путаницу в администрировании и настройке.

Развертывание DNSSEC для рекурсивных и авторитарных серверов — это две совершенно разные задачи.

Чего именно вы пытаетесь добиться? В мире Linux и BSD, если вы просто хотите убедиться, что проверка/валидация DNSSEC происходит, лучшим способом сделать это будет запустить свой собственный локальный рекурсивный или кэширующий резолвер. Для некоторых подробностей о том, как это делается, взгляните на недавние изменения, которые были сделаны в предстоящей FreeBSD 10, где они представили unboundбазовое дерево, которое при правильном использовании (например, если оно установлено как единственный доступный резолвер) не должно разрешать какие-либо доменные имена с включенным DNSSEC, но с записями, которые не подписаны правильно, но которые должны были быть подписаны.

НасколькоавторитетныйЕсли вам нужна дополнительная безопасность и конфиденциальность, лучшим вариантом будет запустить DNSCurve в качестве интерфейса и, возможно, оставить DNSSEC в бэкэнде, если это необходимо.

Я думаю, длярекурсивныйDNS, вы бы сделали то же самое, но наоборот: возможно, настроили бы локальный сервер unboundкак кэширующий/проверяющий преобразователь, который бы отправлял все свои запросы через локальный рекурсивный преобразователь с поддержкой DNSCurve, но никак иначе.

Однако в обоих приведенных выше примерах, я думаю, вы вступаете на неизведанную территорию.

Конфигурация DNS-сервера и DNS-клиента DNSSEC и IPSec

решение1

Связанный контент