DNSSEC в корневой зоне? Как это использовать?

Я использую Fedora для использования на рабочем столе, и я:

yum -y install caching-nameserver service named restart chkconfig --level 5 named on 

на нем, и установите для сервера имен 127.0.0.1. Если я:

 dig google.com | grep SERVER ;; SERVER: 127.0.0.1#53(127.0.0.1) 

Тогда я вижу, что все в порядке … Я использую свой ранее установленный локальный сервер кеша DNS! Ура! (не больше дрянной DNS от моего интернет-провайдера ..)

Затем я попробовал tcpdump :

 tcpdump -n -i eth0 dst port 53 

Все, что я вижу, что мой локальный DNS-сервер не использует DNS-сервер моего ISP для разрешения, вместо этого использует DNS-сервер корневых серверов (IP-адрес) для разрешения имен моих доменов (те, которые я вводил в свой веб-браузер).

Вопрос №1 : Действительно ли мой локальный сервер кэширования DNS использует только DNS-сервер корневых серверов для разрешения?

Вопрос №2 : Если использование DNSSEC дает мне больше безопасности в отношении DNS, то как я могу настроить кеш pc / local dns только для использования и разрешать DNSSEC? Я думаю, что DNSSEC развертывается годами (?) Назад на корневых DNS-серверах.

Обновление : я что-то неправильно понял, и для использования только DNSSEC мне понадобилось бы: все NS для доменов, которые я посещаю, должны быть настроены на использование DNSSEC – и это не очень широко используется, поэтому я не могу использовать только DNSSEC ,

  1. Локальный преобразователь, который вы настроили, по умолчанию не будет использовать свой распознаватель ISP. Он начнет прямо спрашивать корень для ответов на все, что ему нужно. Корень будет отвечать на ответы, которые говорят такие вещи, как «Я не знаю, где находится сайт www.example.com : вы должны пойти поговорить с com и вот набор адресов для общения с com » (и вы попробуйте поговорить с com , который будет ссылаться на example.com ) ». В конце концов, вы будете следовать цепочке, пока не получите свой ответ. Если вам когда-либо понадобится найти ftp.example.com , ваш локальный редактор есть «кеш», который позволит ему перейти прямо к серверам example.com , или если вы хотите, чтобы foo.com прямо на сервер com и не запрашивал root.

  2. Для DNSSEC большая часть мира развернула его сверху вниз, но в нижних доменах нет. Корень был подписан, com был подписан, net была подписана и т. Д. Но facebook.com , google.com и т. Д. Нет. К счастью, DNSSEC был разработан для этого, и программное обеспечение, которое пытается безопасно отслеживать записи DNS, в конечном итоге попадет в сервер имен ( com например, that says "I don't know where is and you should go talk to http://www.facebook.com is and you should go talk to facebook .com` и oh, кстати, они еще не защищены ». IE, DNSSEC предлагает вам что-то вроде provably insecure . Это позволяет вам с уверенностью знать, что родитель зоны указывает, что ребенок не подписан (что упрощение, они могли бы подписываться, но не «приковали»).

Стоит отметить, что DNSSEC по умолчанию не включен, и вам нужно включить его в файлы конфигурации связывания. Я думаю, что по умолчанию fedora named.conf теперь имеет DNSSEC, но вы должны проверить. В вашем файле named.conf вы, надеюсь, найдете раздел с доверенным ключом для root:

 trusted-keys { . 257 3 8 "AwEAAagAIKlVZr..."; } 

И раздел опций, который включает проверку DNSSEC:

 options { dnssec-enable yes; dnssec-validation yes; }; 

При этом, если вы делаете dig +dnssec www.dnssec-tools.org , например, вы должны увидеть флаг AD возвращаемый в выход. Флаг AD означает, что запись была проверена через DNSSEC. Если вы ищете www.facebook.com вы не увидите этот флаг.

 # dig +dnssec www.dnssec-tools.org ... ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ^^ ^^ 

Вы должны настроить forwarders на своем локальном сервере, чтобы указать на ваши интернет-серверы. Вы также можете установить forward-only .

Не уверен насчет №2.