DNSSEC a lokální DNS

[Honza]

Ahoj,

neresil ste nekdo prosim nasledujici situaci? Planuji nasazeni DNSSEC na .com domenu. Aktualne mame 2 DNS servery, jeden pro interni zaznamy a druhy pro dotazy z Internetu.
Napadly me 2 reseni jak tento problem vyresit:
A) Exportovat klic a importovat ho vzdy i na druhy server
B) Mit 2 pary klicu a oba vystavit, tzn docasne by bylo potreba mit az 4 klice, coz nevim jestli u .com domeny projde.

Mate nekdo prosim zkusenosti z realneho nasazeni nebo nejake rady, ktery z pristupu by mel byt lepsi?
Jako DNS server pouzivame PowerDNS.

Diky moc za odpoved
Honza

[Reklama]

[jouda]

Jen tak ... je nutné, aby v split DNS byla podepsaný i ten interní view?
Já jen, že to interní DNSko je pro tu interní zónu autoritativní, takže to nijak neověřuje.
(jsou tam nějaké předpoklady, jako že dnssec se validuje na interních dnskách a ne na klientech, tam by to by samozřejmě neprošlo, ale pro běžné firemní use case to imho vyhovuje)

[Honza]

ahoj, diky za reakci.
Myslim si, ze potrebujeme. Planujeme vyuzit overeni ssh klice(fingerprint) pres DNS (SSHFP) a jedina moznost jak docilit toho, aby ssh bralo, ze je odpoved validni, mel by byt soucasti i DNSSEC podpis. Co jsem procital dokumentaci openssh si dela validaci samo a nespoleha na nastaveny systemovy DNS server. Proto resim i podpis interniho DNS.

[Ondřej Caletka]

Nevím o tom, že by OpenSSH provádělo validaci samo; na druhou stranu, spousta klientských stanic teď má službu systemd-resolved, která se o jakousi validaci pokouší, takže je asi dobrý nápad mít interní view podepsané.

Je možné použít oba postupy, jak sdílení klíčů, tak i dva různé DS záznamy v nadřazené doméně – to je určitě u domény .com možné. Oba budou fungovat zhruba stejně, oba se za určitých okolností rozbijí – typicky u zařízení, která velmi rychle přechází mezi interní a externí sítí. Tohle ale není specifické pro DNSSEC, takže budťo se vám takové problémy dějí už teď a pak asi víte, jak je řešit, nebo se vám nedějí, a pak vás nemusí trápit.