예: DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키 구성
이 예에서는 DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키를 구성하는 방법을 보여줍니다.
요구 사항
DNS 확인자가 모든 DNS 쿼리를 DNS 대신 DNSSEC로 전달하도록 이름 서버 IP 주소를 설정합니다. 예: 자세한 내용은 DNSSEC 구성을 참조하십시오.
개요
보안 도메인을 구성하고 신뢰할 수 있는 키를 도메인에 할당할 수 있습니다. DNSSEC를 사용하는 경우 서명된 응답과 서명되지 않은 응답의 유효성을 모두 검사할 수 있습니다.
도메인을 보안 도메인으로 구성하고 DNSSEC를 사용하는 경우 해당 도메인에 대한 서명되지 않은 모든 응답은 무시되고 서버는 서명되지 않은 응답에 대해 클라이언트에 SERVFAIL 오류 코드를 반환합니다. 도메인이 보안 도메인으로 구성되지 않은 경우 서명되지 않은 응답이 수락됩니다.
서버는 서명된 응답을 받으면 응답의 DNSKEY가 구성된 신뢰할 수 있는 키와 일치하는지 확인합니다. 일치하는 항목을 찾으면 서버는 서명된 응답을 수락합니다.
또한 DNS 루트 영역을 보안 도메인에 신뢰할 수 있는 앵커로 연결하여 서명된 응답의 유효성을 검사할 수 있습니다. 서버는 서명된 응답을 받으면 DNS 루트 영역에서 DS 레코드를 쿼리합니다. DS 레코드를 받으면 DS 레코드의 DNSKEY가 서명된 응답의 DNSKEY와 일치하는지 확인합니다. 일치하는 항목을 찾으면 서버는 서명된 응답을 수락합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
단계별 절차
DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키 구성 방법:
domain1.net 및 domain2.net 보안 도메인으로 구성합니다.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
신뢰할 수 있는 키를 구성하여 domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
신뢰할 수 있는 앵커로 div.isc.org 루트 영역을 보안 도메인에 연결합니다.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
결과
구성 모드에서 show system services 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.