루트 영역의 DNSSEC? 사용 방법?

Question 1

기본적으로 설정한 로컬 확인자는 ISP의 확인자를 전혀 사용하지 않습니다. 필요한 모든 답변을 루트에 직접 묻기 시작합니다. Root는 "어디로 가야할지 모르겠습니다 www.example.com. 가서 이야기해야 합니다 com. 대화 방법에 대한 일련의 주소가 있습니다 com(그런 다음 대화를 시도하면 마지막 com으로 로 연결됩니다 example.com)"와 같은 답변을 반환합니다. 답변을 얻을 때까지 이 체인을 따르십시오 ftp.example.com. 로컬 확인자에는 서버로 직접 이동할 수 있는 "캐시"가 있거나 example.com원하는 경우 루트에 묻지 않고 서버 foo.com로 직접 전송됩니다 com.
DNSSEC의 경우 전 세계 대부분이 위에서 아래로 배포했지만 하위 도메인은 그렇지 않았습니다. 루트 서명, com서명, net서명 등 하지만 facebook.com아직은 google.com기다리지 마세요. 다행스럽게도 DNSSEC는 이를 염두에 두고 설계되었으며 DNS 레코드를 안전하게 따르려고 시도하는 소프트웨어는 결국 이름 서버( com예: that says "I don't know wherewww.facebook.com is and you should go talk tofacebook.com`, 그런데 아직 보호되지 않습니다." IE)에 도달하게 됩니다. , DNSSEC는 이라는 방법을 제공합니다.안전하지 않은 것으로 입증됨. 이를 통해 어느 영역의 상위 영역이 하위 영역이 서명되지 않았음을 의미하는지 정확하게 알 수 있습니다(간단히 설명하면 서명은 되었지만 아직 "연결"되지 않았을 수 있습니다).

DNSSEC는 기본적으로 활성화되어 있지 않으므로 바인딩 구성 파일에서 활성화해야 합니다. 이제 기본 fedora name.conf에 DNSSEC가 활성화되어 있다고 생각하지만 이를 확인해야 합니다. 명명된.conf 파일에서 신뢰할 수 있는 루트 키가 포함된 섹션을 찾을 수 있을 것입니다.

trusted-keys {
  . 257 3 8 "AwEAAagAIKlVZr...";
}

DNSSEC 확인을 켜는 옵션 섹션은 다음과 같습니다.

options {
    dnssec-enable yes;
    dnssec-validation yes;
};

예를 들어 이 옵션을 활성화한 상태에서 을 실행하면 출력에 플래그가 반환되는 것을 볼 dig +dnssec www.dnssec-tools.org수 있습니다 . AD이 AD플래그는 레코드가 DNSSEC 확인을 통과했음을 나타냅니다. 검색하면 www.facebook.com이 플래그가 표시되지 않습니다.

# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
                   ^^
                   ^^

Answer

기본적으로 설정한 로컬 확인자는 ISP의 확인자를 전혀 사용하지 않습니다. 필요한 모든 답변을 루트에 직접 묻기 시작합니다. Root는 "어디로 가야할지 모르겠습니다 www.example.com. 가서 이야기해야 합니다 com. 대화 방법에 대한 일련의 주소가 있습니다 com(그런 다음 대화를 시도하면 마지막 com으로 로 연결됩니다 example.com)"와 같은 답변을 반환합니다. 답변을 얻을 때까지 이 체인을 따르십시오 ftp.example.com. 로컬 확인자에는 서버로 직접 이동할 수 있는 "캐시"가 있거나 example.com원하는 경우 루트에 묻지 않고 서버 foo.com로 직접 전송됩니다 com.
DNSSEC의 경우 전 세계 대부분이 위에서 아래로 배포했지만 하위 도메인은 그렇지 않았습니다. 루트 서명, com서명, net서명 등 하지만 facebook.com아직은 google.com기다리지 마세요. 다행스럽게도 DNSSEC는 이를 염두에 두고 설계되었으며 DNS 레코드를 안전하게 따르려고 시도하는 소프트웨어는 결국 이름 서버( com예: that says "I don't know wherewww.facebook.com is and you should go talk tofacebook.com`, 그런데 아직 보호되지 않습니다." IE)에 도달하게 됩니다. , DNSSEC는 이라는 방법을 제공합니다.안전하지 않은 것으로 입증됨. 이를 통해 어느 영역의 상위 영역이 하위 영역이 서명되지 않았음을 의미하는지 정확하게 알 수 있습니다(간단히 설명하면 서명은 되었지만 아직 "연결"되지 않았을 수 있습니다).

DNSSEC는 기본적으로 활성화되어 있지 않으므로 바인딩 구성 파일에서 활성화해야 합니다. 이제 기본 fedora name.conf에 DNSSEC가 활성화되어 있다고 생각하지만 이를 확인해야 합니다. 명명된.conf 파일에서 신뢰할 수 있는 루트 키가 포함된 섹션을 찾을 수 있을 것입니다.

trusted-keys {
  . 257 3 8 "AwEAAagAIKlVZr...";
}

DNSSEC 확인을 켜는 옵션 섹션은 다음과 같습니다.

options {
    dnssec-enable yes;
    dnssec-validation yes;
};

예를 들어 이 옵션을 활성화한 상태에서 을 실행하면 출력에 플래그가 반환되는 것을 볼 dig +dnssec www.dnssec-tools.org수 있습니다 . AD이 AD플래그는 레코드가 DNSSEC 확인을 통과했음을 나타냅니다. 검색하면 www.facebook.com이 플래그가 표시되지 않습니다.

# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
                   ^^
                   ^^

Question 2

forwardersISP 서버를 가리키도록 로컬 서버를 구성 해야 합니다 . 설정할 수도 있습니다 forward-only.

#2에 대해서는 잘 모르겠습니다.

Answer

forwardersISP 서버를 가리키도록 로컬 서버를 구성 해야 합니다 . 설정할 수도 있습니다 forward-only.

#2에 대해서는 잘 모르겠습니다.

루트 영역의 DNSSEC? 사용 방법?

답변1

답변2

관련 정보