了解 DNSSEC 实际上保护您免受哪些伤害。

了解 DNSSEC 实际上保护您免受哪些伤害。

我们一直在考虑利用第三方递归 DNS 提供商(例如 OpenDNS(或任何人))来提供一层反网络钓鱼和 DNSSEC 验证(而无需在内部实现这些功能)。

为了允许内部(Windows 域)DNS 正常运行,这些递归DNS 提供程序通常是否配置为Windows DNS 服务中的DNS 转发器?

外包递归 DNS 时还有其他最佳实践或注意事项吗?

答案1

用一个词来回答您的第一个问题,“是”。

回答你的第二个问题,最佳实践问题通常非常主观,不适合 Stack Exchange 格式。经验法则是应该有一个答案,并且它应该是正确的答案,而不是你想从中得出的意见池。

话虽如此,你所做的事情有两个重要的警告,它们足够重要,我认为值得尝试一下。

了解 DNSSEC 实际上保护您免受哪些伤害。

在操作系统供应商更加广泛地实施验证存根解析器之前,AD设置了(已验证数据)位的回复包基本上是这样的:

“我相信这些数据,所以你也可以相信这些数据!……如果你相信我,以及我们之间的网络“”。

请仔细阅读。如果您的目标是“避免”必须在内部实现这些功能,请确保您了解 DNSSEC 能为您带来什么。大多数人都不知道。这意味着您可以更好地抵御针对偏僻的递归 DNS 服务器,但是你仍然完全容易受到针对你的基础设施当然,有人专门针对你的可能性要低得多,但假设你不是目标,那么你就会损失多少以及某人对此的兴趣也会增加。

如果您与执行验证的递归服务器之间的网络路径不跨越互联网,则这些风险会大大降低。不过,这与外包是相互排斥的,除非流量本身实际上被加密。

附注:OpenDNS 确实实现了域名加密如果您有兴趣利用它,但要走这条路,您必须确定实施和支持它的复杂程度与仅执行您自己的 DNSSEC 验证相比是否值得成本:收益比。

你得到你所付出的。

这是企业 IT 环境的普遍规则。它在这里也适用,这应该不足为奇。如果您在网络基础设施中引入外部依赖,当该服务出现故障时会发生什么?您的补救途径是什么?谁来支付损失?如果服务从其他人的角度来看是正常的,但以一种只影响您环境的方式出现故障,您能指望远程方多快认真对待您的意见并进行修复(SLA)?

如果您要创建这种依赖关系,请确保以某种方式为服务付费。在不订阅任何内容的情况下向网络添加外部依赖关系,您总是会放弃一些东西,而不这样做的选择会权衡您的胜算。

全面披露

我是一家美国 MSO 的 DNS 运营商。话虽如此,像我这样的人实际上不会从您遵循此建议中获得经济利益。从 ISP 的 DNS 集群迁移出去会减少我们管理的负载。

答案2

配置 DNS 根提示,可减少您的管理工作,并为外部 DNS 查询提供更好的可用性

对于间隔查询 DNS 转发器工作正常

相关内容