Início / server / Perguntas / 998592
Accepted
itasahobby
Asked: 2020-01-12 14:31:32 +0800 CST

O DLV no DNS está obsoleto?

  • 772

Estou tentando configurar um DNS recursivo que também tenha sua própria zona usando o bind.

Agora quero atualizá-lo para usar dnssec, mas pelo que entendi, tenho que usar DLV se não possuir um nome de domínio.

No entanto os poucos guias que encontrei dizem que você precisa se inscrever no dlv.isc.orgque não existe. E um livro que eu estava lendo sobre DNSSEC diz que o DLV seria obsoleto, então é por isso que estou me perguntando. (Se você conhece algum guia passo a passo para configurá-lo também seria apreciado)

domain-name-system

1 respostas

  1. Best Answer

    Enquanto o dlv.isc.orgservidor não estiver mais em execução, você ainda pode definir outro servidor DNSSEC Lookaside em sua configuração do Bind 9 através da opção dnssec-lookaside . Se a chave para example.comnão puder ser validada, o nome do servidor lookaside será anexado a ela e a validação começará com a chave confiável do servidor lookaside. Não testei, mas acredito que não resolverá seu problema: um domínio privado como lan.hoje em dia pode ser validado positivamente como inexistente, então a consulta lookaside não será realizada.

    Então, o que pode ser feito para proteger uma lan.zona? Depende do uso:

    1. O servidor DNS, que você deseja usar como resolvedor recursivo de validação e servidor autoritativo para a lan.zona, não requer nenhuma configuração adicional (suponho que dnssec-validationjá esteja ativado):
      • ele servirá a lan.zona do arquivo de zona e retornará uma resposta sem o ADsinalizador,
      • quando chega uma consulta para outros domínios, ele fará uma consulta recursiva, validará os resultados e somente se forem válidos retornará uma resposta com o ADsinalizador. Se o domínio não validar um SERVFAILserá emitido.
    2. Os stub resolvedores , que usam seu servidor DNS, contam com o comportamento de validação do seu servidor DNS, para que sejam resolvidos lan.sem problemas. No entanto, como a comunicação entre o resolvedor de stub e o servidor não é criptografada, os resultados podem ser modificados em trânsito. Você pode usar assinaturas TSIG ou TLS para protegê-lo.
    3. Os resolvedores de stub de validação exigem que você adicione âncoras confiáveis ​​à sua configuração.

    Duvido que você queira configurar um servidor Bind9 em cada máquina cliente para atuar como um resolvedor de stub de validação (existem alternativas melhores como systemd-resolved , dnsmasq ou unbound ), mas se for esse o caso, você precisa recuperar primeiro a chave para sua lan.zona:

    piotr@akela:~$ dig lan. DNSKEY +short
257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

    Em seguida, você precisará adicionar a chave como confiável, permitir consultas recursivas apenas localhoste encaminhar as solicitações para o servidor DNS "real" (digamos que esteja ativado 192.168.0.1):

    options {
    directory "/var/cache/bind";
    listen-on { localhost; };
    listen-on-v6 { localhost; };
    recursion yes;
    allow-query { localhost; };
    forwarders { 192.168.0.1; };
};
trusted-keys {
    lan. 257 3 13 "nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==";
};

    No final, você só precisa adicionar localhostcomo o único servidor DNS em /etc/resolv.conf:

    nameserver ::1;

    Edit : a configuração resolvida pelo systemd é ainda mais simples: basta adicionar seu DNSKEY a um arquivo chamado /etc/dnssec-trust-anchors.d/<your_name>.positive:

    lan. IN DNSKEY 257 3 13 nnbo5DS5vyxB0OjUd7GbcrmXY7TgdGstk4xqXpu2wvXyoFa0YRqjLcHM QJGMguTrKJVYklMNRQXrStvawSF5eg==

    e force DNSSEC em /etc/systemd/resolved.conf:

    DNSSEC=yes
    • 6

relate perguntas