Я собираюсь развернуть DNSSEC для некоторых из моих доменов, и, когда я готовился, я кое-что прочитал по этой теме. Я наткнулся на некоторые статьи Microsoft Technet, в которых говорилось о Таблица политики разрешения имен что позволяет настроить DNS-клиентов Windows на использовать IPSec при взаимодействии с DNS-сервером для обеспечения целостности и (опционально) аутентификации.
Это кажется неплохой идеей с того места, где я сижу, но, увы, NRPT - это единственная вещь для Windows. Есть ли аналог в мире Linux / OpenBSD? Комбинация DNSSEC и IPSec могла бы стать идеальным решением для администраторов серверов, заботящихся о безопасности.
Вся эта штука с NRPT звучит как способ принести DNSSEC несколько в соответствии с DNSCurve, за исключением того, что вместо того, чтобы иметь единый стандарт и спецификацию, как в случае с DNSCurve, они просто бросают кучу несвязанных друг с другом в большой беспорядок в администрировании и настройке.
Развертывание DNSSEC для рекурсивных и авторитетных серверов - это две совершенно разные задачи.
Чего именно вы пытаетесь достичь? В мире Linux и BSD, если вы просто хотите убедиться, что выполняется проверка / проверка DNSSEC, лучший способ сделать это - запустить собственный локальный рекурсивный или кэширующий преобразователь. Для получения некоторых подробностей о том, как это делается, взгляните на недавние изменения, которые были внесены в грядущую FreeBSD 10, где они представили unbound
в базовое дерево, которое при правильном использовании (например, если оно установлено как единственный доступный преобразователь) не должно разрешать какие-либо доменные имена, для которых включен DNSSEC, но есть записи, которые не подписаны правильно, но которые должны были быть подписано.
Так далеко как авторитетный Если вам нужна дополнительная безопасность и конфиденциальность, лучше всего запустить DNSCurve в качестве внешнего интерфейса и, возможно, по-прежнему иметь DNSSEC на сервере, если это необходимо.
Я думаю для рекурсивный DNS, вы будете делать то же самое, но наоборот: возможно, настроить локальный unbound
быть преобразователем кэширования / проверки, который будет выдавать все свои запросы через локальный рекурсивный преобразователь с поддержкой DNSCurve, но никогда иначе.
Однако в обоих приведенных выше примерах я думаю, что вы в значительной степени вступаете на неизведанную территорию.