Wie funktioniert öffentliches DNS?

527
user9371654

Wenn ich ein kleines Unternehmensnetzwerk mit einigen Webservern und ein DNS mit DNSSEC zum Signieren der Zonendatei habe. Ich kann die Zonendatei bearbeiten und das Mapping (Name -> IP) konfigurieren, zusätzlich zu anderen Mappings, z. B. TXT-Datensätzen usw., und die Datei dann signieren. Ein von DNSSEC unterstützter Client fragt den DNS ab und ruft die Datensätze ab, überprüft die Signatur usw.

Wenn meine Benutzer öffentliche DNS wie 8.8.8.8 verwenden, wie kann ich dort meine eigenen DNS-TXT-Einträge konfigurieren. Ist ein öffentliches DNS wie 8.8.8.8 ein DNS-Server oder nur ein Resolver? Wie funktioniert öffentliches DNS genau, um zu beheben, example.comdass DNSSEC zur Authentifizierung in seinem DNS-Server verwendet wird? Wer hat die Signaturschlüssel? example.comoder das öffentliche DNS?

1
Es besteht eine Diskrepanz zwischen Ihrem Wissen, Ihrer Frage und Ihrem Setup. Offensichtlich hatte jemand die Fähigkeit, dies einzurichten - Sie sollten mit ihnen arbeiten. davidgo vor 6 Jahren 1
@davidgo Ich habe das Setup für ein privates Netzwerk zu Lernzwecken erstellt. Ich verstehe, wie die Dinge im privaten Netzwerk funktionieren. Ich muss jedoch weitere Einblicke in die Funktionsweise erhalten, wenn ein Benutzer oder ein Client öffentliches DNS verwendet, da das Unternehmen seine DNS-Einträge signiert hat. In diesem Fall validiert der Client die Antwort mit welchem ​​öffentlichen Schlüssel? der Server des Unternehmens oder der öffentliche DNS? user9371654 vor 6 Jahren 0

1 Antwort auf die Frage

3
grawity

Ist ein öffentliches DNS wie 8.8.8.8 ein DNS-Server oder nur ein Resolver?

Es ist nur ein Resolver wie von ISPs. Es ändert nichts an der Verwaltung Ihrer Domäne: Die Datensätze werden immer noch im Zonefile Ihrer 'autorisierenden' Server gespeichert, und Sie signieren die Zone mit Ihren eigenen Schlüsseln.

Wenn meine Benutzer öffentliche DNS wie 8.8.8.8 verwenden, wie kann ich dort meine eigenen DNS-TXT-Einträge konfigurieren.

Du nicht Da 8.8.8.8 ein Resolver ist, folgt er der Delegationskette (NS-Datensätze) und holt die Datensätze von Ihrem eigenen autorisierenden Server. (Genauso wie bei anderen Domains wie "google.com" ...)

Wenn also die Domäne öffentlich ist (von einem Registrar gekauft) und Ihr DNS-Server öffentlich zugänglich ist, ändert sich nichts.

Wenn die Domäne nicht delegiert wird (z. B. unter einer bestimmten TLD), können mycompany.lanöffentliche Resolver sie natürlich überhaupt nicht sehen. Verwenden Sie also keine konfektionierten Domains.

Wie öffentliche DNS genau funktioniert, um example.com zu beheben, das DNSSEC zur Authentifizierung in seinem DNS-Server verwendet

Informationen zum regelmäßigen Abrufen von DNS-Datensätzen finden Sie oben und in der vorhandenen Dokumentation. Kurz gesagt, der Resolver folgt der Kette der NS-Datensätze von der Stammzone aus, bis er Ihren eigenen Server findet.

Die DNSSEC-Validierung ist sehr ähnlich: Neben NS-Datensätzen (die auf den nächsten Server zeigen) verfügt jede Delegation auch über DS-Datensätze (mit dem öffentlichen Schlüssel der nächsten Zone). Der Resolver oder Validator folgt wieder der Kette der DS-Datensätze.

Kann ich also sagen, dass der Domaininhaber dieselbe Entität ist, die über die DNS-Signaturschlüssel verfügt? dh Besitzer von "example.com" ist die gleiche Entität, die über die Signaturschlüssel für die DNS-Einträge von "example.com" verfügt. user9371654 vor 6 Jahren 0
Ja, das ist oft der Fall. Aber nicht immer: Viele Menschen betreiben keine eigenen autorisierenden Server und nutzen einfach den kostenlosen webbasierten "DNS Control Panel" -Dienst des Registrators. In diesem Fall wird die Zonendatei vom Registrar und nicht vom Eigentümer erstellt und signiert (oder nicht signiert). grawity vor 6 Jahren 0
(Dies ist immer noch ein "autorisierender Server" -Dienst und steht in keinem Zusammenhang mit öffentlichen Auflösern wie Google Public DNS.) grawity vor 6 Jahren 0

Verwandte Probleme