DNSSEC HOWTO
I. Zabezpečení dat DNS
1. Konfigurace rekurzivního jmenného serveru pro ověřování odpovědí
1.1 Úvod
Plánujeme nakonfigurovat rekurzivní jmenný server tak, aby ověřoval data, která přijímá. Uživatelé, kteří využívají tento rekurzivní jmenný server jako svůj resolver, pak budou přijímat pouze data, která jsou buď bezpečná a ověřená nebo zcela nezabezpečená. Výsledkem bude, že se bezpečná data, která nebudou ověřena, k uživatelům nedostanou. Pokud máte ověřovací rekurzivní jmenný server, chrání všechny, kteří jej používají jako forwarder, proti přijetí podvodných dat DNS.
Obrázek 1 ukazuje, jak nakonfigurovat rekurzivní servery DNS pomocí důvěryhodného klíče pro „example.com“ tak, že všechna data poskytnutá autoritativními servery pro "example.com" jsou ověřena před předáním chráněné infrastruktuře, ve které jsou rekurzivní servery konfigurovány jako forwardery (jmenné servery, které jsou obvykle přiděleny přes DHCP nebo konfigurovány v /etc/resolv.conf).
Obrázek 1: DNS prostředí
Konfigurací veřejného klíče pro konkrétní zónu informujeme caching forwarder o tom, že všechna data vycházející z této zóny by měla být podepsána odpovídajícím soukromým klíčem. Zóna vystupuje jako důvěryhodný vstupní bod pro vstup do stromu DNS a klíč konfigurovaný v rekurzivním jmenném serveru je počátkem pro řetěz důvěry. V ideálním případě máte jako důvěryhodný přístupový bod nakonfigurovaný pouze jeden klíč: klíč root (kořenové) zóny.
Předpokládáme, že jste váš jmenný server nakonfigurovali pouze jako rekurzivní.
Předpokládáme rovněž, že jmenný server ve vaší organizaci byl nakonfigurován jako autoritativní server pro zabezpečenou zónu pojmenovanou example.net. Poznámky k nastavení zabezpečené zóny naleznete níže v Kapitole 2, „Zabezpečení zóny DNS“.