Mat*_*uel 3 security domain-name-system dnssec dns-zone
我们正在建立一个运行着 BIND9 服务器(以及许多其他服务)的网络。我正在学习并尝试重新组织旧的配置文件以符合当今的要求(许多死机、未使用的名称、反向映射等)。
与此同时,我很乐意遵循最佳实践并使用 DNSSEC 保护 DNS。在检查配置时,我偶然发现我们使用的 TLD 并未受到 DNSSEC 的保护。
我的问题:如果楼上(在超级域)没有人这样做,那么使用 DNSSEC 保护我们的 DNS 是否有任何意义(我敢打赌)?
我们的区域/域名空间位于我们的大学域名下,直接位于ve.空间(委内瑞拉 TLD)之下。也就是说,像example.university.ve.“两者”ve或我们大学的 DNS 之类的东西都是安全的。
如果我们无论如何都要保护我们的子域,我仍然想知道如果有攻击者出现,不安全的 TLD 会导致什么问题。
PS:我使用http://dnsviz.net/和https://dnssec-debugger.verisignlabs.com/等工具来检查 DNSSEC 配置。
DNSSEC 的安全性来自于从某些给定数据(如一组 A 记录)到已知且可信的公钥(称为“信任锚”)的加密验证委托链。对于今天的 DNSSEC,通常使用的信任锚是根区域密钥。如果您的父区域未签名,从您的区域到根区域的链就会被破坏,并且 DNSSEC 的安全保证将完全失效。您是否对您的区域进行签名并不重要,因为没有其他人有理由信任您用于签名的密钥。正如您可以创建一个密钥并用它对区域进行签名一样,坏人也可以创建一个密钥并用它对您的(可能稍微修改过的)数据进行签名。如果没有到信任锚的签名链,第三方就无法知道他们是否应该信任您的密钥或坏人的密钥。
现在,如果您希望某些特定的其他人能够信任您的签名,您可以为他们提供一个密钥,他们可以将其用作您的域的信任锚。这称为“后备验证”,自从根区域签名以来它没有被太多使用,但标准和实现仍然存在。如果您对此感兴趣,请查看RFC 5074。
但一般来说,如果您的父区域未签名,则您签署自己的区域就没有意义。