Come iniziare con DNSSEC?

9

Mi è stato assegnato il compito di migliorare la sicurezza di un servizio specifico. Dopo alcune analisi dei requisiti siamo giunti alla conclusione, che un determinato aspetto dei requisiti specificati può essere soddisfatto solo attraverso l'uso di DNSSEC.

Ho una discreta esperienza nella sicurezza delle informazioni e nella crittografia, e credo di aver compreso i principi generali in DNSSEC. Tuttavia non ho esperienza pratica.

Solitamente tali nuove tecnologie vengono prima implementate in un sottodominio del nostro nome di dominio primario. Ma questo approccio non sembra essere possibile con DNSSEC, dal momento che una corretta implementazione implica la firma dal root server al sottodominio. I nostri domini attualmente non hanno DNSSEC e il provider di hosting non supporta DNSSEC.

L'acquisto di un dominio sperimentale tramite un provider di hosting separato potrebbe essere un'opzione, ma a causa della mancanza di esperienza pratica con DNSSEC non ho idea di cosa cercare in un provider di hosting di questo tipo.

Ho anche preso in considerazione l'utilizzo di uno dei numerosi servizi in cui è possibile acquisire un sottodominio gratuito con DNS dinamico. Tuttavia nessuno dei provider che ho visto finora supporta DNSSEC.

Quale sarebbe il prossimo passo sensato da fare per mettere le mani sull'esperienza di cui ho bisogno?

    
posta user67689 04.02.2015 - 12:11
fonte

1 risposta

3

Recentemente ho aggiunto dnssec ad alcuni domini, e qui ci sono alcune note e suggerimenti casuali di quell'esperienza:

Prima di tutto, assicurati che il tuo registrar di domini supporti DNSSEC. Alcuni lo fanno, altri (ad esempio namecheap) no. Se il tuo registrar non supporta dnssec (cioè non hai un metodo per aggiungere i record DS per il tuo dominio a livello di genitore) devi prima cambiare registrar.

A seconda del server DNS utilizzato, la firma del dominio può essere un'attività banale quasi automatica o una cosa manuale piuttosto complessa. Il mio DNS principale è Windows DNS, dove puoi semplicemente fare clic destro su una zona, selezionare DNSSEC / firma ... e una procedura guidata ti guida attraverso il processo.

Configura un dominio di prova e segui l'intero processo su quel prima che fa un vero dominio prod. Se qualcosa va storto, puoi portare il tuo dominio offline per gli utenti che utilizzano risolutori di convalida DNSSEC (ad es. Google DNS), quindi prima di tutto provare su un dominio non utilizzato è una buona idea.

GetDS è uno strumento accurato su linux che ti può aiutare a risolvere e convalidare la tua configurazione.

Un altro utile strumento che ti aiuterà a convalidare la tua configurazione è questo sito: link

    
risposta data 10.04.2015 - 07:14
fonte

Leggi altre domande sui tag