KUIDAS RAKENDADA DNSSEC-I?

6. jaanuaril 2014 käivitas Eesti Interneti Sihtasutus koostöös akrediteeritud registripidajatega DNSSEC teenuse .ee jaoks.

Küsimusele, "mis on DNSSEC?" leiab vastuse Eesti Interneti SA kodulehelt:

või laiemalt:

MIDA TEHA OMA DOMEENIL DNSSEC-I RAKENDAMISEKS?

6. jaanuarist on võimalik .ee domeeni registreerijatel edastada oma DNSSEC võtmeid domeeni registreerimise teenuse pakkujate ehk registripidajate vahendusel sihtasutuse registrisse ning internetikasutajatel veenduda juba DNSSEC-iga kaitstud .ee domeenide õigsuses.

TEENUSEPAKKUJA

Lihtsaim võimalus oma domeeni DNSSEC-iga kaitsta, on kasutada selleks oma registripidaja või nimeserveri teenuse pakkuja abi. Ülevaate, missugused registripidajad DNSSEC-i teenust oma klientidele pakuvad, leiad internet.ee avalehelt .ee akrediteeritud registripidajate võrdlustabelist.

Enne mõne teenusepakkuja kasuks otsustamist tasub uurida, kuidas on selles organisatsioonis korraldatud DNSSEC-i võtmete haldus - kuidas hoitakse ja kaitstakse salajasi võtmeid, kas ja kui tihti neid vahetatakse ning missugused kulud sellega domeeniomanikule kaasnevad. Hea tava teenusepakkuja poolt on avalikustada oma DNSSEC lahenduse DPS (DNSSEC Practice Statement), kus on kirjeldatud selles ettevõttes rakendatavad DNSSEC-iga seotud protseduurid ja reeglid. Kui see kõik on rahuldav, tasub alles siis selle teenuse pakkujaga "käed lüüa".

NB! DNSSEC-i tugevus sõltub sellest, kui hästi on kaitstud DNSSEC-i salajased võtmed igas DNSSEC-i usaldusahela lülis.

PAIGALDA JA SEADISTa dnssec ise

DNSSEC-i rakendamiseks tuleb domeeniomanikul seadistada oma nimeserveri lahendus DNSSEC-i toetama, luua vajalikud võtmed, allkirjastada oma domeen ning saata avalik võti (KSK võtmepaari avalik osa) läbi oma registripidaja sihtasutuse registrisse.

Infot, kuidas erinevate nimeserveri lahenduste baasil DNSSEC-i seadistada, leiab vastava tarkvara väljaanda kodulehelt. Näiteks:


DNSSEC-i haldamiseks on ka erilahendusi. Üheks selliseks on näiteks OpenDNSSEC, mille kohta leiab infot siit:

Alljärgnev on DNSSEC-i rakendamiseks vajalike tegevuste üldine raamistik:

1. Seadista nimeserver ja loo tsoonifailid  (BIND, NSD, PowerDNS vms)

DNSSEC-i jaoks ei ole vaja luua eraldi nimeserverit ning selleks võib kasutada juba toimivat lahendust. Ainukeseks eelduseks on DNSSEC toe olemasolu.

Käesolevaks hetkeks toetavad kõik laiemalt levinud nimeserverid DNSSEC-i. Üldise juhendi nimeserveri seadistamiseks leiab aadressilt:

http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine

2. Seadista DNSSEC tugi nimeserverile

Peale nimeserveri tavapärast seadistamist on vaja sisse lülitada DNSSEC-i tugi. Täpsed seadistamise parameetrid sõltuvad valitud nimeserverist.

BIND-i nimeserveri seadistamise parameetrid leiab BIND-i käsiraamatust peatükist 4.8 (lk 20)

https://kb.isc.org/getAttach/82/AA-00845/Bv9ARM-9.9.4.pdf

3. Loo DNSSEC võtmed

Järgnevalt tuleb luua võtmed, millega allkirjastatakse tsoonis olevad kirjed. BIND-i nimeservis on selleks dnssec-keygen rakendus, mis loob avaliku ja privaatse võtme.

4. Allkirjasta tsoonifailid

Peale võtmete loomist tuleb allkirjastada tsoonifailid. BIND-i nimeserveris saab selleks kasutada dnssec-signzone rakendust, mis loob signeeritud tsoonifaili.

5. Edasta DNSSEC võti enda registripidajale

DNSSEC võtmete edastamiseks võta ühendust oma domeeni registripidajaga või võimalusel kasuta oma registripidaja iseteenindusportaali.

6. Registripidaja edastab võtme EIS-i

DNSSEC-i toimimist saab kontrollida erinevate internetis leiduvate vahenditega:

 

Täpsema juhendi DNSSEC-i põhimõtetest, toimimisest, seadistamisest ja haldamisest leiab aadressilt http://www.nlnetlabs.nl/publications/dnssec_howto