Soru Bir alandan DNSSEC desteği nasıl kaldırılır?


Bir kuruluş, alan adları için DNSSEC desteğine sahiptir. Anahtarları da yöneten yetkili isim sunucusu olarak BIND9 var. Ancak DNSSEC'i kaldırmaya karar verildi. Anahtar malzeme kaldırmak için yeterli mi /var/lib/bind/pri ve sunucuyu yeniden başlatmak için veya r? emoved olması için yapılması gereken adımlar var mı


6
2018-05-05 11:25


Menşei




Cevaplar:


Hayır, yapılandırmayı yalnızca yerel olarak kaldırmak yeterli değildir. yetkili isim sunucusu.

DNSSEC bir hiyerarşik sistemdir güven zinciri agains DNS önbellek zehirlenmesi.

DNSSEC interneti korumak için tasarlandı bazı saldırılarböyle   DNS önbellek zehirlenmesi olarak. Bu, DNS’in bir uzantısıdır.   sağlar: a) DNS verilerinin başlangıç ​​kimlik doğrulaması, b) veri bütünlüğü, ve   c) Varoluşun reddedilmesi.

Bir örnek Güven Zinciri:

  1. Bölge kendisi ile imzalanmıştır. Özel anahtar senin üstünde birincil yetkili isim sunucusu, Örneğin. ns1.example.com. var Özel anahtar imzalamak için example.com. A ile example.com. RRSIG A.
  2. Genel anahtar arasında example.com. için yetkili makam tarafından gönderildi ve onaylandı com., o zaman içinde var example.com. DS hash ve karşılık gelen example.com. RRSID DS, ile imzalandı Özel anahtar için .com.
  3. Genel anahtar arasında com. tarafından gönderildi ve onaylandı kök yetki, o zaman içinde var com. DS hash ve karşılık gelen com. RRSID DS, ile imzalandı özel kök anahtarı yani ., diğer adıyla Kök Bölgesi Güven Çapası:

    Kök Anahtar İmzalama Anahtarı, DNSSEC için   Alan Adı Sistemi. Bu güven bağlantısı DNSSEC uyumludur   DNS verilerinin doğrulanmasını kolaylaştırmak için çözücüler.

Herhangi bir alanın güzel bir görselleştirmesini alabilirsiniz. DNSViz. Ayrıca yapılandırma hatalarını da algılar.

Bu nedenle, TLD'nin sorumlusu, muhtemelen kayıt memuruve alan adı için DNSSEC'nin devre dışı bırakılması gerektiğini bildirdi. Zincirlemeyi kaldırarak DNSSEC'yi devre dışı bırakacaklar DS onların adlarından kaydım. Aksi halde, DNSSEC etkinleştirilir ve yetkili ad sunucunuzun bir haydut isim sunucusu.


15
2018-05-05 12:18



DS'yi ana alandan kaldırmanızın, bölgenizde tuttuğunuz DNSSEC kaydına bakılmaksızın (o anda) güvenli olmayan duruma düşürülmesi yeterli olacaktır. Yapılması gereken ilk adım bu; DNSSEC kayıtlarını kaldırmadan önce en azından DS'nin TTL değerini beklemek istersiniz. - Vladimír Čunát