DNSSEC dla domen firmowych

Techniczny poradnik DNSSEC: podpisywanie strefy DNS, KSK/ZSK, rekord DS u rejestratora, chain of trust, walidacja i typowe błędy.

Techniczny poradnik DNS

DNSSEC dla domen firmowych: DS, KSK, ZSK i chain of trust

DNSSEC chroni integralność odpowiedzi DNS: resolver może sprawdzić, czy rekordy domeny zostały podpisane właściwym kluczem i czy łańcuch zaufania prowadzi od strefy nadrzędnej do domeny. To nie jest filtr zagrożeń ani zamiennik secdns.pl by DataHouse.

Co dokładnie robi DNSSEC?

DNSSEC dodaje kryptograficzne podpisy do strefy DNS. Dzięki temu resolver walidujący może wykryć podmianę odpowiedzi, brak podpisu lub przerwany łańcuch zaufania między domeną, rejestrem i strefą root.

KSK, ZSK i DS

ZSK zwykle podpisuje rekordy w strefie, KSK podpisuje zestaw kluczy DNSKEY, a rekord DS opublikowany u rejestratora łączy domenę ze strefą nadrzędną. Błąd DS potrafi unieruchomić domenę dla resolverów walidujących.

Kiedy DNSSEC ma sens?

DNSSEC ma szczególne znaczenie dla domen firmowych, poczty, paneli logowania, API, e-commerce i systemów, w których podmiana odpowiedzi DNS może prowadzić do przejęcia ruchu lub utraty zaufania.

DNSSEC a secdns.pl

DNSSEC sprawdza autentyczność danych DNS. secdns.pl by DataHouse filtruje i monitoruje zapytania DNS pod kątem zagrożeń. Te mechanizmy mogą się uzupełniać, ale rozwiązują inne problemy.

Kolejność wdrożenia DNSSEC

  1. Sprawdzić, gdzie faktycznie utrzymywana jest strefa DNS i kto może zmienić DS u rejestratora.
  2. Wygenerować lub włączyć klucze DNSSEC dla strefy: ZSK do podpisów rekordów oraz KSK do zestawu DNSKEY.
  3. Opublikować podpisane rekordy DNSKEY, RRSIG, NSEC lub NSEC3 i sprawdzić odpowiedzi z autorytatywnych serwerów DNS.
  4. Dodać poprawny rekord DS u rejestratora domeny: właściwy key tag, algorytm, digest type i digest.
  5. Przed zmianą i po zmianie sprawdzić delegację, serial, SOA, NS, glue, DS, DNSKEY, walidację i działanie MX/WWW.

Typowe błędy DNSSEC

DNSSEC jest wrażliwy na kolejność zmian. Najgroźniejsze błędy zwykle dotyczą rekordu DS, synchronizacji autorytatywnych serwerów DNS i rotacji kluczy.

BłądNa czym polegaRyzyko
Niepoprawny DSDS u rejestratora nie pasuje do aktualnego KSK w strefie DNS.Domena może przestać działać dla resolverów walidujących, mimo że autorytatywny DNS odpowiada.
Brak synchronizacji NSCzęść serwerów autorytatywnych ma inną wersję strefy, inny serial lub niepełne podpisy.Użytkownicy widzą losowe błędy, zależnie od tego, który serwer DNS obsłuży zapytanie.
Wygasłe podpisy RRSIGStrefa jest podpisana, ale podpisy nie zostały odnowione na czas.Walidacja DNSSEC zaczyna zwracać błąd, a usługi WWW i poczta mogą wyglądać jak niedostępne.
Zła rotacja kluczyKSK lub ZSK zmieniono bez właściwego okresu publikacji i wycofania.Łańcuch zaufania pęka, szczególnie gdy DS lub DNSKEY nie są widoczne w odpowiednim czasie.
Mylenie z filtrowaniem DNSDNSSEC nie blokuje phishingu, malware ani domen C2.Do filtrowania zapytań służy secdns.pl by DataHouse, a DNSSEC odpowiada za autentyczność danych DNS.
Niepoprawny DS

Na czym polegaDS u rejestratora nie pasuje do aktualnego KSK w strefie DNS.

RyzykoDomena może przestać działać dla resolverów walidujących, mimo że autorytatywny DNS odpowiada.

Brak synchronizacji NS

Na czym polegaCzęść serwerów autorytatywnych ma inną wersję strefy, inny serial lub niepełne podpisy.

RyzykoUżytkownicy widzą losowe błędy, zależnie od tego, który serwer DNS obsłuży zapytanie.

Wygasłe podpisy RRSIG

Na czym polegaStrefa jest podpisana, ale podpisy nie zostały odnowione na czas.

RyzykoWalidacja DNSSEC zaczyna zwracać błąd, a usługi WWW i poczta mogą wyglądać jak niedostępne.

Zła rotacja kluczy

Na czym polegaKSK lub ZSK zmieniono bez właściwego okresu publikacji i wycofania.

RyzykoŁańcuch zaufania pęka, szczególnie gdy DS lub DNSKEY nie są widoczne w odpowiednim czasie.

Mylenie z filtrowaniem DNS

Na czym polegaDNSSEC nie blokuje phishingu, malware ani domen C2.

RyzykoDo filtrowania zapytań służy secdns.pl by DataHouse, a DNSSEC odpowiada za autentyczność danych DNS.

Najczęstsze pytania

Czy DNSSEC chroni przed phishingiem i malware?

Nie. DNSSEC sprawdza autentyczność odpowiedzi DNS i integralność danych w strefie. Filtrowanie phishingu, malware lub C2 wykonuje osobny bezpieczny DNS, na przykład secdns.pl by DataHouse.

Co najczęściej psuje DNSSEC?

Najczęstsze problemy to błędny rekord DS u rejestratora, brak synchronizacji autorytatywnych DNS, wygasłe podpisy RRSIG albo niepoprawna rotacja KSK/ZSK.

Czy DNSSEC można włączyć bez zmiany hostingu?

Tak, jeżeli obecny dostawca DNS obsługuje podpisywanie strefy, a rejestrator pozwala dodać rekord DS. Trzeba sprawdzić, gdzie realnie utrzymywana jest strefa DNS i kto zarządza delegacją.

Co sprawdzić po wdrożeniu DNSSEC?

Należy sprawdzić DS, DNSKEY, RRSIG, SOA, NS, glue, serial strefy, walidację z resolvera walidującego oraz działanie WWW, MX, SPF, DKIM i DMARC.