DNSSEC e IPSec DNS Server e configuração do cliente DNS

3

Estou prestes a implantar o DNSSEC em alguns dos meus domínios e, enquanto me preparava, fiz algumas leituras sobre o assunto. Me deparei com alguns artigos do Microsoft Technet falando sobre Tabela de Políticas de Resolução de Nomes que permite configurar clientes DNS do Windows para usar o IPSec ao comunicar com o servidor DNS para fornecer integridade e (opcionalmente) autenticação.

Isso parece ser uma boa idéia de onde estou sentado, mas, infelizmente, o NRPT é apenas uma coisa do Windows. Existe um equivalente no mundo do Linux / OpenBSD? Ter o DNSSEC e o IPSec combinados parece ser a solução perfeita para administradores de servidores conscientes de segurança.

    
por Cromulent 21.12.2013 / 01:36

1 resposta

1

Essa coisa toda do NRPT parece ser uma maneira de alinhar o DNSSEC com o DNSCurve , exceto que, em vez de ter um único padrão e especificação, como é o caso DNSCurve-se, eles estão simplesmente lançando um monte de outros não relacionados juntos em uma grande confusão de administração e configuração.

A implantação do DNSSEC para servidores recursivos e com autoridade é uma tarefa completamente diferente.

O que exatamente você está tentando realizar? No mundo Linux e BSD, se você quer simplesmente garantir que a verificação / validação do DNSSEC esteja ocorrendo, a melhor maneira de fazer isso é executar o seu próprio resolvedor recursivo ou de armazenamento em cache local. Para alguns detalhes de como é feito, dê uma olhada nas recentes mudanças que foram feitas no próximo FreeBSD 10, onde eles introduziram unbound na árvore de base, que, quando usada corretamente (por exemplo, se estiver definida como a única disponível resolvedor), não deve resolver nenhum nome de domínio que tenha o DNSSEC ativado, mas tenha registros que não estejam assinados corretamente, mas que deveriam ter sido assinados.

No que diz respeito a servidores autoritativos , se pretender alguma segurança e privacidade adicionais, a sua melhor aposta é executar o DNSCurve como front-end e, possivelmente, ainda ter DNSSEC no backend, se necessário .

Eu acho que para DNS recursivo , você estaria fazendo exatamente a mesma coisa, mas o contrário: talvez configure um local unbound para ser um resolvedor de cache / verificação, que emite todas as suas consultas através de um resolvedor recursivo DNSCurve, mas nunca de outra forma.

No entanto, em ambos os exemplos acima, acho que você está praticamente entrando em um território desconhecido.

    
por 21.12.2013 / 04:02