Debian DNSSEC - como proteger um domínio?

6

Eu tenho uma pergunta básica sobre o DNSSEC. Eu tenho muita experiência com TLS e material de criptografia e gostaria de experimentar esta nova tecnologia. Eu pesquisei muito sobre isso, mas não encontrei informações úteis para mim. Acho que uma confusão na coleta de informações é que o "Debian como configurar o DNSSEC" pode significar "Como usar o DNSSEC para resolver" OU "Como proteger seu domínio com DNSSEC". Eu estou procurando o segundo.

Eu estou executando um servidor Debian Squeeze com privilégios de root que tem um nome de domínio terminando com ".de" (que já está assinado pela zona de raiz). A interface de rede neste servidor usa o IP do gateway (resolvedor de DNS?) Do datacenter em que o servidor está sendo executado.

Meu domínio está hospedado em freedns.afraid.org, onde posso adicionar RRs DNS para meu domínio. Atualmente, eles NÃO são capazes de adicionar RRs de DNSSEC, mas estou solicitando que eles ofereçam suporte a isso em breve. ; -)

Minha pergunta simples é: Como faço para configurar o DNSSEC no Debian? Resp. para quem eu pedi?

Pelo que entendi, tudo o que tenho a fazer é executar dnssec-keygen no meu servidor Debian e depois adicionar a chave ao meu provedor de DNS como DNSSEC RR. (E mudá-lo a cada 30 dias?)

Eu olhei para este link mas parece que você tem que ser o dono de uma ZONE, então Eu não acho que isso se aplica a mim. Quem precisa assinar meu domínio? Meu provedor de DNS ou minha zona (DeNIC) ou posso fazer isso sozinho?

Qualquer ajuda é muito apreciada!

    
por Daniel Marschall 26.02.2012 / 10:36

1 resposta

8

Histórico: O DNSSEC, na realidade, é um par de chaves de segurança e vários registros DNS que devem existir além dos registros DNS normais. Aqueles residem em dois lugares:

  1. Servidor DNS autoritativo para o seu domínio. Isso armazena os registros DNSKEY , RRSIG e NSEC / NSEC3 .
  2. Servidor DNS autoritativo para o domínio pai (domínio "com" por exemplo.com). Isso armazena registros do DS .

As próprias chaves privadas podem ser armazenadas em qualquer lugar (ou até excluídas depois de assinarem todas as assinaturas), mas normalmente elas também residem em algum lugar no servidor autoritativo do domínio.

Agora, a resposta à sua pergunta depende de como o seu provedor de DNS implementará o suporte do DNSSEC.

No cenário mais simples (para você), a hospedagem DNS fará todo o trabalho (criando chaves KSK e ZSK, publicando registros DNSKEY , assinando e renunciando automaticamente ao arquivo de zona com RRSIG e NSEC / NSEC3 registra, e prepara a chave do DS que você enviará ao seu registrador ). p>

(Como você vê, é necessário suporte não apenas de sua hospedagem de DNS, mas também de seu registrador. A ICANN mantém lista de registradores de apoio ao DNSSEC )

Nesse caso, você só precisará copiar a chave DS fornecida pela sua hospedagem de DNS e enviá-la ao seu registrador (por meio da interface da Web ou por qualquer outro meio que seu registrador suportar).

P.S. Como você vê, todo o processo não tem nada a ver com o (s) seu (s) computador (es) nem com qualquer sistema operacional que você execute, seja debian ou windows, o céu proíbe.

    
por 26.02.2012 / 15:55

Tags