Прочитав о реализации DNSSEC в Windows Server 2008 R2, мне показалось, что он добавляет дополнительную сложность, но в любом случае не является полностью безопасным (я понимаю, что большая безопасность всегда означает большую сложность в большинстве случаев).
1-й DNS-клиент не знает о DNSSEC и просит тот же сервер, который разрешил запись, проверить действительность этой записи и сделать это только в случае наличия таблицы NRPT (вам необходимо настроить это дополнительно - без таблицы нет проверки; и это все еще случай в WS 2012 / Win 8). Помимо того, что он выглядит как-то неуклюже с точки зрения архитектуры, дело в том, что у клиента нет никаких опций для проверки DNS-сервера (чтобы быть на 100% безопасным в этом отношении, вам нужен IPSec, развернутый в сети Windows, что добавляет еще больше сложности).
Итак, принимая во внимание все это, стоит ли развертывать DNSSEC в реальном мире? Действительно ли это повышает безопасность или просто добавляет ненужной сложности?
Кто-нибудь действительно использует эту технологию в корпоративных сетях Windows?
Один из способов взглянуть на это - неважно, «стоит оно того» или нет. Это прямое обязательное требование в определенных средах, которые должны соответствовать определенным политикам аудита, таким как FISMA и FedRAMP. (Прочтите специальную публикацию NIST 800-53 SC-20 и SC-21.)
Если вы не соответствуете этим требованиям, тогда только вы можете решить, стоит оно того для вас или нет. Это правда, что DNSSEC и IPsec вносят сложность. Это правда, что использование DNSSEC с внутренними / частными зонами без сопряжения его с IPsec имеет ограниченную ценность. Говоря о внутренних / частных зонах DNS, DNSSEC действительно полезен только в том случае, если клиент может быть уверен, что он или она обращается к истинному и правильному DNS-серверу. И для проверки этой аутентификации обычно также требуется IPsec.
Также рассмотрите не использование DNSSEC на Windows Server на любом другом сервере, чем Server 2012. DNSSEC на Server 2008 R2 может использовать только SHA-1, но не SHA-2. А поскольку корневая зона Интернета (то есть .
) подписан с помощью RSA / SHA-256, что означает, что Server 2008 R2 будет бесполезен в качестве валидатора интернет-зон. Server 2012 и выше решает эту проблему.
Является ли эта сложность слишком сложной для вас или вашей компании, или же дополнительные преимущества того стоят ... это слишком субъективно, и мы не можем ответить за вас.