Defaults.Exposed

Defaults.Exposed › সেটআপ › DNSSEC

AWS Route 53-এ DNSSEC সেট আপ করার পদ্ধতি

Route 53-এ একটি KMS কী দিয়ে DNSSEC সাইনিং সক্ষম করুন এবং আপনার রেজিস্ট্রারে DS রেকর্ড যোগ করুন যাতে কেউ আপনার DNS উত্তর জাল করতে না পারে।

এটি আপনার ব্যবসার জন্য কেন গুরুত্বপূর্ণ

কেউ আপনার ওয়েবসাইট পরিদর্শন করলে বা আপনাকে ইমেইল পাঠালে, তাদের কম্পিউটার প্রথমে সঠিক ঠিকানার জন্য DNS সিস্টেমকে জিজ্ঞাসা করে। সেই উত্তরগুলো সাধারণত স্বাক্ষরহীনভাবে ভ্রমণ করে, তাই লুকআপে হস্তক্ষেপ করতে পারে এমন একজন আক্রমণকারী আপনার দর্শকদের চুপচাপ একটি জাল সাইটে পুনঃনির্দেশ করতে বা আপনার ইমেইল তাদের নিজের সার্ভারে পুনঃরুট করতে পারে — যখন আপনার আসল ডোমেন এখনো ঠিকানা বারে দেখায়।

DNSSEC এটি প্রতিরোধ করে। এটি আপনার DNS উত্তরগুলো ক্রিপ্টোগ্রাফিক্যালি স্বাক্ষর করে, তাই আপনাকে খুঁজছেন যে কেউ প্রমাণ করতে পারেন উত্তরটি সত্যিই আপনার কাছ থেকে এসেছে এবং ট্রানজিটে পরিবর্তন করা হয়নি। সহজ ভাষায়: এটি ডোমেন হাইজ্যাকিং এবং ক্যাশ পয়জনিং ব্লক করে, যে আক্রমণগুলো আপনার নিজের ডোমেনকে আপনার গ্রাহকদের বিরুদ্ধে পরিণত করে। এটি ফিচার হিসেবে বিনামূল্যে (সাইনিং কী একটি ছোট AWS KMS কী ব্যবহার করে, যার সামান্য মাসিক খরচ আছে), এবং এটি সবচেয়ে শক্তিশালী সুরক্ষার একটি যা আপনি সক্ষম করতে পারেন।

Route 53-এ DNSSEC কীভাবে কাজ করে

Route 53 কাজটি এমনভাবে বিভক্ত করে যা শুরু করার আগে বোঝার মূল্য আছে:

আপনি Route 53-এর মাধ্যমে (Amazon Registrar) ডোমেন নিবন্ধন করলে, রেজিস্ট্রার ধাপটি এখনো প্রয়োজন, কিন্তু এটি AWS কনসোলের মধ্যেই করা হয়। আপনার রেজিস্ট্রার ভিন্ন কোম্পানি হলে, আপনি সেখানে হাতে DS রেকর্ড কপি করুন।

আসল ঝুঁকি — সাবধানে করুন

DNSSEC ভুল কনফিগার হলে আপনার পুরো ডোমেন অফলাইন নিয়ে যেতে পারে। দুটি উপায় এটি ঘটে:

নিচের ক্রমটি ঠিকঠাক অনুসরণ করুন। এবং আপনি Route 53 থেকে DNS মাইগ্রেট করলে, প্রথমে রেজিস্ট্রারে DS রেকর্ড সরিয়ে দিন এবং সাইনিং অক্ষম করুন, তারপর সরুন।

নিশ্চিত করুন Route 53 আপনার DNS চালাচ্ছে

এটি তখনই কাজ করে যখন Route 53 আপনার ডোমেনের DNS-এর উত্তর দিচ্ছে। পরীক্ষা করুন আপনার ডোমেনের নেমসার্ভার আপনার হোস্টেড জোনের জন্য তালিকাভুক্ত চারটি Route 53 নেমসার্ভারের দিকে পয়েন্ট করছে কিনা। Route 53 কনসোল খুলুন, Hosted zones-এ যান, আপনার ডোমেন খুলুন, এবং NS রেকর্ড মান লক্ষ্য করুন — আপনার রেজিস্ট্রারের নেমসার্ভার সেটিং অবশ্যই এগুলোর সাথে মেলাতে হবে। আপনার নেমসার্ভার অন্য কোথাও পয়েন্ট করলে, পরিবর্তে আপনার DNS চালানো প্রদানকারীতে DNSSEC সক্ষম করুন।

Route 53-এ ধাপে ধাপে

  1. AWS কনসোলে সাইন ইন করুন এবং Route 53 খুলুন।
  2. Hosted zones-এ যান এবং আপনার ডোমেনের হোস্টেড জোন খুলুন।
  3. DNSSEC signing ট্যাব খুলুন এবং Enable DNSSEC signing বেছে নিন।
  4. key-signing key (KSK)-এর জন্য, আপনাকে অবশ্যই একটি customer managed KMS key প্রদান করতে হবে:
    • Create customer managed key বেছে নিন (বা একটি বিদ্যমান যোগ্য বেছে নিন)।
    • কীটি অবশ্যই একটি asymmetric কী হতে হবে Sign and verify ব্যবহার সহ, ECC_NIST_P256 স্পেক ব্যবহার করে, এবং এটি অবশ্যই US East (N. Virginia) us-east-1 অঞ্চলে থাকতে হবে — Route 53 DNSSEC সেই অঞ্চলে কী দরকার।
    • KSK-কে একটি নাম দিন।
  5. নিশ্চিত করুন এবং enable signing করুন। Route 53 এখন হোস্টেড জোন স্বাক্ষর করে।
  6. এখনো DNSSEC signing ট্যাবে, DS record / Establish a chain of trust খুঁজুন। Route 53 আপনার প্রয়োজনীয় মানগুলো প্রদর্শন করে, যার মধ্যে Key Tag, Signing algorithm, Digest algorithm, এবং Digest (এবং প্রায়ই একটি প্রস্তুত DS রেকর্ড লাইন) অন্তর্ভুক্ত।
  7. এখন আপনার রেজিস্ট্রারে যান এবং DS রেকর্ড যোগ করুন:
    • ডোমেনটি Route 53-এ (Amazon Registrar) নিবন্ধিত হলে: কনসোল আপনাকে ডোমেনের সেটিংসের অধীনে এটি দিয়ে নিয়ে যেতে পারে — বা ডোমেনের DNSSEC বিভাগে মানগুলো কপি করুন।
    • আপনার রেজিস্ট্রার ভিন্ন কোম্পানি হলে: এর DNSSEC / DS রেকর্ড বিভাগ খুলুন এবং ধাপ 6 থেকে মানগুলো ঠিকঠাক লিখুন — Key Tag, Algorithm (সাধারণত 13), Digest Type (সাধারণত 2), এবং Digest
  8. রেজিস্ট্রারে সেভ করুন। DS রেকর্ড প্যারেন্ট জোনে গৃহীত হলে বিশ্বাসের শৃঙ্খল সম্পন্ন হয়।

Route 53-এ মানুষ যে ভুলগুলো করে

এটি কাজ করেছে কিনা যাচাই করুন

Route 53-এ সাইনিং সক্ষম হলে এবং আপনার রেজিস্ট্রারে DS রেকর্ড থাকলে, এই সাইটের বিনামূল্যে চেক চালান। এটি সহজ ভাষায় বলবে আপনার ডোমেনের জন্য DNSSEC সঠিকভাবে প্রকাশিত এবং বিশ্বস্ত কিনা।

সম্পন্ন? আপনার ডোমেইন বিনামূল্যে চেক করুন নিশ্চিত করতে যে এটি কাজ করেছে — এবং সমস্ত ৩৪টি চেক জুড়ে আপনার সম্পূর্ণ গ্রেড দেখুন।