DNSSEC 和 IPSec DNS 服务器和 DNS 客户端配置

DNSSEC 和 IPSec DNS 服务器和 DNS 客户端配置

我即将为我的一些域部署 DNSSEC,在准备过程中,我阅读了一些相关内容。我偶然发现了一些 Microsoft Technet 文章,其中讨论了名称解析策略表它允许配置 Windows DNS 客户端使用 IPSec与 DNS 服务器通信时提供完整性和(可选)身份验证。

从我的角度来看,这似乎是一个非常好的主意,但遗憾的是 NRPT 只适用于 Windows。Linux/OpenBSD 世界中有同等的东西吗?对于注重安全的服务器管理员来说,将 DNSSEC 和 IPSec 结合起来似乎是完美的解决方案。

答案1

整个 NRPT 听起来像是一种方式来DNSSEC有点符合DNS曲线,只不过他们没有像 DNSCurve 本身那样拥有单一的标准和规范,而是简单地将一堆不相关的标准和规范堆砌在一起,造成了巨大的管理和配置混乱。

为递归服务器和权威服务器部署 DNSSEC 是两个完全不同的任务。

您到底想实现什么目标? 在 Linux 和 BSD 世界中,如果您只是想确保 DNSSEC 验证/确认正在进行,最好的方法是运行您自己的本地递归或缓存解析器。有关如何执行此操作的一些详细信息,请查看即将推出的 FreeBSD 10 的最新更改,其中引入了unbound基础树,如果使用得当(例如,如果将其设置为唯一可用的解析器),则不应解析任何已启用 DNSSEC 的域名,但其记录未正确签名,但应该已签名。

据,直到...为止权威性服务器,如果您想要一些额外的安全性和隐私,最好的选择是运行 DNSCurve 作为前端,并且如果需要,可能仍在后端拥有 DNSSEC。

我猜递归DNS,你会做完全相同的事情,但反过来:也许配置一个本地unbound作为缓存/验证解析器,它将通过本地 DNSCurve 感知递归解析器发出所有查询,但绝不会以其他方式进行。

然而,在上述两个例子中,我认为你几乎已经进入了一个未知领域。

相关内容