¿Cómo empezar a usar DNSSEC?

9

Se me ha asignado la tarea de mejorar la seguridad de un servicio específico. Después de un análisis de los requisitos, llegamos a la conclusión de que un cierto aspecto de los requisitos especificados solo se puede cumplir mediante el uso de DNSSEC.

Tengo bastante experiencia con la seguridad de la información y la criptografía, y creo que entiendo los principios generales de DNSSEC. Sin embargo, no tengo experiencia práctica.

Por lo general, estas nuevas tecnologías se implementan primero en un subdominio de nuestro nombre de dominio principal. Pero ese enfoque no parece ser posible con DNSSEC, ya que una implementación adecuada implica firmar todo el camino desde los servidores raíz al subdominio. Actualmente, nuestros dominios no tienen DNSSEC y el proveedor de alojamiento no admite DNSSEC.

La compra de un dominio experimental a través de un proveedor de alojamiento independiente puede ser una opción, pero debido a la falta de experiencia práctica con DNSSEC, no tengo la menor idea de qué buscar en dicho proveedor de alojamiento.

También he considerado usar uno de los numerosos servicios donde se puede adquirir un subdominio gratuito con DNS dinámico. Sin embargo, ninguno de los proveedores que he consultado hasta ahora es compatible con DNSSEC.

¿Cuál sería un próximo paso razonable para obtener la experiencia práctica que necesito?

    
pregunta user67689 04.02.2015 - 12:11
fuente

1 respuesta

3

Recientemente agregué dnssec a algunos dominios, y aquí hay algunas notas y consejos al azar de esa experiencia:

En primer lugar, asegúrese de que su registrador de dominios sea compatible con DNSSEC. Algunos lo hacen, otros (por ejemplo, namecheap) no lo hacen. Si su registrador no admite dnssec (es decir, no tiene un método para agregar registros de DS para su dominio en el nivel primario), primero debe cambiar el registrador.

Según el servidor DNS que utilice, firmar el dominio puede ser una tarea trivial casi automática o una tarea manual bastante compleja. Mi DNS principal es el DNS de Windows, donde puede hacer clic con el botón derecho en una zona, seleccionar DNSSEC / sign ... y un asistente lo lleva a través del proceso.

Configure un dominio de prueba y realice todo el proceso en ese antes haciendo en un dominio real prod. Si algo sale mal, puedes desconectar tu dominio para los usuarios que usan resolventes de validación DNSSEC (por ejemplo, el DNS de Google), por lo que probar en un dominio no utilizado es una muy buena idea.

GetDS es una buena herramienta en Linux que puede ayudarte en el proceso de resolución de problemas y validación de tu configuración.

Otra herramienta útil que ayudará a validar su configuración es este sitio: enlace

    
respondido por el KristoferA 10.04.2015 - 07:14
fuente

Lea otras preguntas en las etiquetas