EN ESTA PÁGINA
Ejemplo: Configuración de dominios seguros y claves de confianza para DNSSEC
En este ejemplo, se muestra cómo configurar dominios seguros y claves de confianza para DNSSEC.
Requisitos
Establezca la dirección IP del servidor de nombre para que el solucionador DNS reenvíe todas las consultas DNS a DNSSEC en lugar de DNS. Vea el ejemplo: Configurar DNSSEC para obtener más información.
Descripción general
Puede configurar dominios seguros y asignar claves de confianza a los dominios. Las respuestas firmadas y no firmadas se pueden validar cuando DNSSEC está habilitado.
Cuando configura un dominio como dominio seguro y si DNSSEC está habilitado, se omiten todas las respuestas sin firmar a ese dominio y el servidor devuelve un código de error SERVFAIL al cliente para las respuestas sin firmar. Si el dominio no está configurado como dominio seguro, se aceptarán respuestas sin firmar.
Cuando el servidor recibe una respuesta firmada, comprueba si la CLAVE DNS en la respuesta coincide con alguna de las claves de confianza configuradas. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.
También puede adjuntar una zona raíz DNS como un ancla de confianza a un dominio seguro para validar las respuestas firmadas. Cuando el servidor recibe una respuesta firmada, consulta la zona raíz DNS para un registro DS. Cuando recibe el registro DS, comprueba si la DNSKEY en el registro DS coincide con la DNSKEY en la respuesta firmada. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Procedimiento paso a paso
Para configurar dominios seguros y claves de confianza para DNSSEC:
Configure domain1.net y domain2.net como dominios seguros.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Configure claves de confianza para domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Adjuntar una zona raíz div.isc.org como un ancla de confianza a un dominio seguro.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show system services configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.