dnssec配置说明分析和总结.docxVIP

dnssec 配置说明 DNSSEC 原理、配置与部署(二 ) 2011-07-25 中国教育网络 作者：段海新字体选择：【大】 【中】 【小】 最新 推荐 IPv6：校园网积极“吃螃蟹” 走... 07-19 特别报道：互为师生时代到来 07-11 IPv6 开启互联网应用新纪元 07-07 云计算实现泛载教育服务 07-05 DNSSEC 是为解决DNS 欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC 在BIND 上的配置，最后介绍国际上的部署情况和它可能对互联网安全机制的影响。 DNSSEC 的配置 尽管 DNSSEC 的工作原理看起来让人气馁，实际的配置操作却并不复杂。本节以 BIND 9 为例介绍 DNSSEC 的基本配置。尽管 BIND 9.3 以上就开始支持 DNSSEC，仍然建议使用当前最高版本的 BIND(当前最新的版本是 9.8)。 配置或部署 DNSSEC 有两种场景： (1 )配置安全的域名解析服务器(Resolver)，该服务器可以保护使用它的用户，防止被 DNS 欺骗攻击。这里只涉及数字签名的验证工作。 (2)配置安全的权威域名服务器(Name Server)，对权威域的资源记录进行签名，保护服务器不被域名欺骗攻击。 配置安全解析服务器激活 DNSSEC 首先，在 BIND 的配置文件(一般是/etc/named.conf)中打开 DNSSEC 选项，比如： options { directory quot;/var/namedquot;; dnssec-validation yes; ?. }; 配置 Trust anchor 其次，要给解析服务器配置可信锚(Trust Anchors)，也就是你所信任的权威域的 DNSKEY。理想情况下我们可以配置一个根的密钥就够了，但是目前 DNSSEC 还没有完全部署的情况下，我们需要配置很多安全岛(Secure Island)的密钥，可以从很多公开的网站下载这些可信域的 DNSKEY 文件，包括： Root Zone DNSSEC Trust Anchors： /dnssec/。2010 年 7 月部署实施， 如果 DNSSEC 全部部署成功，这一个公开密钥就足够了。 The UCLA secspider ： ，由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。 The IKS Jena TAR： https://www.iksjena.de/leistungen/dnssec.php 这些文件大概是这样的格式： trusted-keys { quot;.quot; 256 35 quot;AQPzzTWMz8qS?3mbz7Fh ?? ?.fHm9bHzMG1UBYtEIQ==quot;; quot;193..quot; 257 3 5 quot;AwEAAc2Rn?.HlCKscYl kf2kOcq9xCmZv?.XXPN8E=quot;; }; 假设上述 trust anchors 的文件为/var/named/trust-anchors.conf，则在/etc/named.conf 中增加下面一行： include quot;/var/named/se-c-trust-anchors.confquot;; 测试 在完成上述配置修改之后重新启动 named 进程，然后选择一个 trust anchor 文件中有的区或者它下一级的域名，在解析服务器上用 dig 测试一下，例如： # dig @ +dnssec . SOA 如果配置正确，应该返回 的 SOA 记录和相应的 RRSIG 记录，另外返回的头部中应该包含 A D 标志位，表示 DNSSEC 相关的数字签名验证是正确的，类似下面的样子： ;; -gt;gt;HEADERlt;lt;- opcode: QUERY, status: NOERROR, id: 1397 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 如果没有得到期望的结果，需要查看 DNS 的日志来找出问题。BIND 为 DNSSEC 相关的事件增加了一个 dnssec 类别，可以在/etc/named.conf 配置日志如下： logging { channel dnssec_log { file quot;log/dnssecquot; size 20m; // a DNSSEC log channel 20m; print-time yes; // timestamp the entries print-category yes; // add category name to entries pri