Cromulent Asked: 2013-12-21 16:36:36 +0800 CST2013-12-21 16:36:36 +0800 CST 2013-12-21 16:36:36 +0800 CST DNSSEC 和 IPSec DNS 服务器和 DNS 客户端配置 772 我即将为我的一些域部署 DNSSEC,当我准备好时,我对这个主题做了一些阅读。我看到一些 Microsoft Technet 文章谈论名称解析策略表,它允许配置 Windows DNS 客户端以在与 DNS 服务器通信时使用 IPSec以提供完整性和(可选)身份验证。 从我所在的位置来看,这似乎是一个不错的主意,但可惜 NRPT 是 Windows 唯一的东西。Linux / OpenBSD 世界中是否存在等价物?将 DNSSEC 和 IPSec 结合起来似乎是具有安全意识的服务器管理员的完美解决方案。 linux 1 个回答 Voted Best Answer cnst 2013-12-21T19:02:11+08:002013-12-21T19:02:11+08:00 整个 NRPT 事情听起来像是使DNSSEC在某种程度上与DNSCurve保持一致的一种方式,除了没有像 DNSCurve 本身那样有一个单一的标准和规范,他们只是将一堆不相关的标准和规范一起扔进一个大的管理和配置混乱。 为递归服务器和权威服务器部署 DNSSEC 是两个完全不同的任务。 你到底想完成什么? 在 Linux 和 BSD 世界中,如果您只是想确保 DNSSEC 验证/确认正在发生,最好的方法是运行您自己的本地递归或缓存解析器。有关它如何完成的一些细节,请查看对即将到来的 FreeBSD 10 所做的最新更改,其中他们已将基础树引入unbound到基础树中,如果使用正确(例如,如果它被设置为唯一可用的解析器),不应该解析任何启用了 DNSSEC 的域名,但有未正确签名但应该已签名的记录。 就权威服务器而言,如果您想要一些额外的安全性和隐私性,最好的办法是将 DNSCurve 作为前端运行,如果需要,还可能在后端使用 DNSSEC。 我猜对于递归DNS,您会做完全相同的事情,但反过来:也许将本地配置unbound为缓存/验证解析器,它将通过本地 DNSCurve 感知递归解析器发出所有查询,但绝不会如此。 但是,在上述两个示例中,我认为您几乎进入了一个未知领域。
整个 NRPT 事情听起来像是使DNSSEC在某种程度上与DNSCurve保持一致的一种方式,除了没有像 DNSCurve 本身那样有一个单一的标准和规范,他们只是将一堆不相关的标准和规范一起扔进一个大的管理和配置混乱。
为递归服务器和权威服务器部署 DNSSEC 是两个完全不同的任务。
你到底想完成什么? 在 Linux 和 BSD 世界中,如果您只是想确保 DNSSEC 验证/确认正在发生,最好的方法是运行您自己的本地递归或缓存解析器。有关它如何完成的一些细节,请查看对即将到来的 FreeBSD 10 所做的最新更改,其中他们已将基础树引入
unbound到基础树中,如果使用正确(例如,如果它被设置为唯一可用的解析器),不应该解析任何启用了 DNSSEC 的域名,但有未正确签名但应该已签名的记录。就权威服务器而言,如果您想要一些额外的安全性和隐私性,最好的办法是将 DNSCurve 作为前端运行,如果需要,还可能在后端使用 DNSSEC。
我猜对于递归DNS,您会做完全相同的事情,但反过来:也许将本地配置
unbound为缓存/验证解析器,它将通过本地 DNSCurve 感知递归解析器发出所有查询,但绝不会如此。但是,在上述两个示例中,我认为您几乎进入了一个未知领域。