DNSSEC для корпоративних доменів

Технічний посібник DNSSEC: підписування DNS-зони, KSK/ZSK, DS у реєстратора, chain of trust, валідація і типові помилки.

Технічний посібник DNS

DNSSEC для корпоративних доменів: DS, KSK, ZSK і chain of trust

DNSSEC захищає цілісність відповідей DNS: валідуючий resolver може перевірити, чи записи домену підписані правильним ключем і чи ланцюг довіри веде від батьківської зони до домену. Це не фільтр загроз і не заміна secdns.pl by DataHouse.

Що саме робить DNSSEC?

DNSSEC додає криптографічні підписи до DNS-зони. Завдяки цьому валідуючий resolver може виявити підміну відповіді, відсутність підпису або розірваний ланцюг довіри між доменом, реєстром і root-зоною.

KSK, ZSK і DS

ZSK зазвичай підписує записи в зоні, KSK підписує набір ключів DNSKEY, а запис DS, опублікований у реєстратора, з'єднує домен із батьківською зоною. Помилка DS може вимкнути домен для валідуючих resolverів.

Коли DNSSEC має сенс?

DNSSEC має особливе значення для корпоративних доменів, пошти, панелей логування, API, e-commerce і систем, у яких підміна DNS-відповіді може призвести до перехоплення трафіку або втрати довіри.

DNSSEC і secdns.pl

DNSSEC перевіряє автентичність даних DNS. secdns.pl by DataHouse фільтрує і моніторить DNS-запити з погляду загроз. Ці механізми можуть доповнювати один одного, але розв'язують різні проблеми.

Порядок впровадження DNSSEC

  1. Перевірити, де фактично підтримується DNS-зона і хто може змінити запис DS у реєстратора.
  2. Згенерувати або увімкнути ключі DNSSEC для зони: ZSK для підписів записів і KSK для набору DNSKEY.
  3. Опублікувати підписані записи DNSKEY, RRSIG, NSEC або NSEC3 і перевірити відповіді з авторитативних DNS-серверів.
  4. Додати правильний запис DS у реєстратора домену: key tag, алгоритм, digest type і digest.
  5. Перед зміною і після зміни перевірити делегацію, serial, SOA, NS, glue, DS, DNSKEY, валідацію і роботу MX/WWW.

Типові помилки DNSSEC

DNSSEC чутливий до порядку змін. Найнебезпечніші помилки зазвичай стосуються запису DS, синхронізації авторитативних DNS-серверів і ротації ключів.

ПомилкаНа чому полягаєРизик
Неправильний DSDS у реєстратора не відповідає актуальному KSK у DNS-зоні.Домен може перестати працювати для валідуючих resolverів, хоча авторитативний DNS відповідає.
Несинхронізовані NSЧастина авторитативних серверів має іншу версію зони, інший serial або неповні підписи.Користувачі бачать випадкові помилки залежно від того, який DNS-сервер обробив запит.
Прострочені підписи RRSIGЗона підписана, але підписи не були оновлені вчасно.Валідація DNSSEC починає повертати помилку, а WWW і пошта можуть виглядати недоступними.
Помилкова ротація ключівKSK або ZSK змінено без правильного періоду публікації і виведення з використання.Ланцюг довіри розривається, особливо коли DS або DNSKEY не видимі у правильний час.
Плутання з DNS-фільтрацієюDNSSEC не блокує phishing, malware або домени C2.Для фільтрації запитів служить secdns.pl by DataHouse, а DNSSEC відповідає за автентичність даних DNS.
Неправильний DS

На чому полягаєDS у реєстратора не відповідає актуальному KSK у DNS-зоні.

РизикДомен може перестати працювати для валідуючих resolverів, хоча авторитативний DNS відповідає.

Несинхронізовані NS

На чому полягаєЧастина авторитативних серверів має іншу версію зони, інший serial або неповні підписи.

РизикКористувачі бачать випадкові помилки залежно від того, який DNS-сервер обробив запит.

Прострочені підписи RRSIG

На чому полягаєЗона підписана, але підписи не були оновлені вчасно.

РизикВалідація DNSSEC починає повертати помилку, а WWW і пошта можуть виглядати недоступними.

Помилкова ротація ключів

На чому полягаєKSK або ZSK змінено без правильного періоду публікації і виведення з використання.

РизикЛанцюг довіри розривається, особливо коли DS або DNSKEY не видимі у правильний час.

Плутання з DNS-фільтрацією

На чому полягаєDNSSEC не блокує phishing, malware або домени C2.

РизикДля фільтрації запитів служить secdns.pl by DataHouse, а DNSSEC відповідає за автентичність даних DNS.

Найчастіші питання

Чи DNSSEC захищає від phishing і malware?

Ні. DNSSEC перевіряє автентичність відповідей DNS і цілісність даних у зоні. Фільтрацію phishing, malware або C2 виконує окремий захисний DNS, наприклад secdns.pl by DataHouse.

Що найчастіше ламає DNSSEC?

Найчастіші проблеми - неправильний запис DS у реєстратора, відсутність синхронізації авторитативних DNS, прострочені підписи RRSIG або некоректна ротація KSK/ZSK.

Чи можна увімкнути DNSSEC без зміни хостингу?

Так, якщо поточний DNS-провайдер підтримує підписування зони, а реєстратор дозволяє додати DS. Потрібно перевірити, де реально підтримується DNS-зона і хто керує делегацією.

Що перевірити після впровадження DNSSEC?

Потрібно перевірити DS, DNSKEY, RRSIG, SOA, NS, glue, serial зони, валідацію через валідуючий resolver, а також роботу WWW, MX, SPF, DKIM і DMARC.