ルート領域のDNSSEC?使い方?

ルート領域のDNSSEC?使い方?

私はデスクトップ用にFedoraを使用しています。

yum -y install caching-nameserver
service named restart
chkconfig --level 5 named on

そしてネームサーバーを127.0.0.1に設定します。もし私が:

dig google.com | grep SERVER
;; SERVER: 127.0.0.1#53(127.0.0.1)

それでは問題はないようですが…さっきインストールしたローカルDNSキャッシュサーバーを使用しています!歓声! (私のISPはもはや不快なDNSを提供しません。)

それから試しましたtcpdump

tcpdump -n -i eth0 dst port 53

私のローカルDNSサーバーは、検証のためにISPのDNSサーバーを使用せず、ルートサーバー(IPアドレス)DNSサーバーを使用して自分のドメイン名(Webブラウザに入力したドメイン名)を解決していることがわかります。

質問1:私のローカルDNSキャッシュサーバーは本当ですか?専用解決のためのルートサーバーDNSサーバー?

質問2:使用する場合DNSSECDNSに関してより多くのセキュリティを提供します。それでは、DNSSECのみを使用して許可するように自分のコンピュータ/ローカルDNSキャッシュをどのように設定しますか?数年前(?)ルートDNSサーバーにDNSSECが展開されていると思います。

修正する:何か間違って理解しました。必要なDNSSECのみを使用するには:アクセスするドメイン内のすべてのNSをDNSSECを使用するように設定する必要があります。これは広く使用されていないため、DNSSECのみを使用することはできません。

答え1

  1. デフォルトでは、設定したローカルリゾルバはISPのリゾルバをまったく使用しません。必要なすべての答えをルートに直接尋ね始めます。 Rootは「どこに行くべきかわかりませんwww.example.com。行って話す必要があります。com会話方法の一連のアドレスがありますcom(次に会話を試みると最後comにつながりますexample.com)」などの答えが返されます。答えが得られるまでこのチェーンに従ってくださいftp.example.com。ローカルリゾルバには、サーバーに直接移動できる「キャッシュ」があるか、必要に応じてルートに尋ねることなくexample.comサーバーfoo.comに直接送信されますcom

  2. DNSSECの場合、世界中のほとんどが上から下に配布されましたが、サブドメインはそうではありませんでした。ルート署名、com署名、net署名などがfacebook.comまだgoogle.com待ってはいけません。幸いなことに、DNSSECはこれを念頭に置いて設計されており、DNSレコードに安全に従おうとするソフトウェアは最終的にネームサーバー(com例:that says "I don't know wherewww.facebook.com is and you should go talk tofacebook.com`、しかしまだ保護されていません。」IE)に到達します。 、DNSSECはというメソッドを提供します。安全でないことが証明されている。これにより、どの領域の親領域が子領域が署名されていないかを正確に知ることができます(簡単に説明すると、署名はされていますがまだ「接続」されていない可能性があります)。

DNSSECはデフォルトで有効になっていないため、バインディング構成ファイルで有効にする必要があります。これで、デフォルトのfedora name.confでDNSSECが有効になっていると思いますが、これを確認する必要があります。名前付き.confファイルに信頼できるルートキーを含むセクションを見つけることができます。

trusted-keys {
  . 257 3 8 "AwEAAagAIKlVZr...";
}

DNSSEC検証をオンにするオプションセクションは次のとおりです。

options {
    dnssec-enable yes;
    dnssec-validation yes;
};

たとえば、このオプションを有効にした状態でを実行すると、出力にフラグが返されることがわかりdig +dnssec www.dnssec-tools.orgます。ADこのADフラグは、レコードがDNSSEC検証に合格したことを示します。検索すると、www.facebook.comこのフラグは表示されません。

# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
                   ^^
                   ^^

答え2

forwardersISPサーバーを指すようにローカルサーバーを構成する必要があります。設定することもできますforward-only

#2についてはよくわかりません。

関連情報