EN ESTA PÁGINA
Ejemplo: Configuración de dominios seguros y claves de confianza para DNSSEC
En este ejemplo se muestra cómo configurar dominios seguros y claves de confianza para DNSSEC.
Requisitos
Establezca la dirección IP del servidor de nombres para que la resolución de DNS reenvíe todas las consultas DNS a DNSSEC en lugar de DNS. Consulte Ejemplo: Configuración de DNSSEC para obtener más información.
Descripción general
Puede configurar dominios seguros y asignar claves de confianza a los dominios. Tanto las respuestas firmadas como las no firmadas se pueden validar cuando DNSSEC está habilitado.
Cuando se configura un dominio como dominio seguro y si DNSSEC está habilitado, se omiten todas las respuestas sin firmar a ese dominio y el servidor devuelve un código de error SERVFAIL al cliente para las respuestas sin firmar. Si el dominio no está configurado como dominio seguro, se aceptarán respuestas sin firmar.
Cuando el servidor recibe una respuesta firmada, comprueba si la DNSKEY de la respuesta coincide con alguna de las claves de confianza configuradas. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.
También puede adjuntar una zona raíz DNS como ancla de confianza a un dominio seguro para validar las respuestas firmadas. Cuando el servidor recibe una respuesta firmada, consulta la zona raíz DNS para un registro DS. Cuando recibe el registro DS, comprueba si el DNSKEY del registro DS coincide con el DNSKEY de la respuesta firmada. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Procedimiento paso a paso
Para configurar dominios seguros y claves de confianza para DNSSEC:
Configure domain1.net y domain2.net como dominios seguros.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Configure claves de confianza para domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Adjunte una div.isc.org de zona raíz como ancla de confianza a un dominio seguro.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Resultados
Desde el modo de configuración, confírmela con el comando show system services. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.