Defaults.Exposed › Ρύθμιση › DNSSEC

Πώς να ρυθμίσετε το DNSSEC στο AWS Route 53

Ενεργοποιήστε την υπογραφή DNSSEC στο Route 53 με κλειδί KMS και προσθέστε την εγγραφή DS στον registrar σας ώστε κανείς να μην μπορεί να παραποιήσει τις απαντήσεις DNS σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Όταν κάποιος επισκέπτεται την ιστοσελίδα σας ή σας στέλνει email, ο υπολογιστής του ρωτά πρώτα το σύστημα DNS για τη σωστή διεύθυνση. Αυτές οι απαντήσεις ταξιδεύουν κανονικά χωρίς υπογραφή, οπότε ένας εισβολέας που μπορεί να παρέμβει στην αναζήτηση μπορεί να εκτρέψει αθόρυβα τους επισκέπτες σας σε ψεύτικη ιστοσελίδα ή να εκτρέψει το email σας στον δικό του διακομιστή — ενώ ο πραγματικός τομέας σας εξακολουθεί να εμφανίζεται στη γραμμή διεύθυνσης.

Το DNSSEC αποτρέπει αυτό. Υπογράφει κρυπτογραφικά τις απαντήσεις DNS σας, ώστε αυτός που σας αναζητά να μπορεί να αποδείξει ότι η απάντηση πράγματι ήρθε από εσάς και δεν τροποποιήθηκε στη μεταφορά. Με απλά λόγια: μπλοκάρει την αποκτήκρατηση τομέα και τη δηλητηρίαση cache, τις επιθέσεις που στρέφουν τον δικό σας τομέα εναντίον των πελατών σας. Είναι δωρεάν ως χαρακτηριστικό (το signing key χρησιμοποιεί ένα μικρό κλειδί AWS KMS, που συνεπάγεται μικρό μηνιαίο κόστος), και είναι μία από τις ισχυρότερες προστασίες που μπορείτε να ενεργοποιήσετε.

Πώς λειτουργεί το DNSSEC στο Route 53

Το Route 53 χωρίζει τη δουλειά με τρόπο που αξίζει να κατανοήσετε πριν ξεκινήσετε:

• Το Route 53 υπογράφει το hosted zone σας χρησιμοποιώντας κλειδί αποθηκευμένο στο AWS KMS (Key Management Service). Η ενεργοποίηση της υπογραφής δημοσιεύει τα δημόσια κλειδιά (ένα DNSKEY) και παράγει μια εγγραφή DS.
• Ο registrar σας — η εταιρεία με την οποία ανανεώνετε τον τομέα — πρέπει στη συνέχεια να δημοσιεύσει εκείνη την εγγραφή DS στη γονική ζώνη (για παράδειγμα .com) ώστε το υπόλοιπο διαδίκτυο να εμπιστεύεται τις υπογραφές.

Αν καταχωρήσατε τον τομέα μέσω Route 53 (Amazon Registrar), το βήμα registrar εξακολουθεί να απαιτείται, αλλά γίνεται μέσα στην κονσόλα AWS. Αν ο registrar σας είναι διαφορετική εταιρεία, αντιγράφετε χειροκίνητα εκεί την εγγραφή DS.

Ο πραγματικός κίνδυνος — κάντε το προσεκτικά

Το DNSSEC μπορεί να θέσει εκτός λειτουργίας ολόκληρο τον τομέα σας αν ρυθμιστεί λανθασμένα. Οι δύο τρόποι που συμβαίνει αυτό:

• Εγγραφή DS στον registrar που δεν ταιριάζει με το κλειδί με το οποίο υπογράφει το Route 53.
• Απενεργοποίηση της υπογραφής, διαγραφή του κλειδιού KMS, ή μεταφορά DNS μακριά από το Route 53 χωρίς πρώτα να αφαιρεθεί η εγγραφή DS στον registrar — η παλιά εγγραφή DS συνεχίζει να απαιτεί υπογραφές που δεν υπάρχουν πλέον, και οι αναζητήσεις αποτυγχάνουν.

Ακολουθήστε την παρακάτω σειρά ακριβώς. Και αν ποτέ μεταφέρετε DNS μακριά από το Route 53, αφαιρέστε πρώτα την εγγραφή DS στον registrar και απενεργοποιήστε την υπογραφή, μετά μεταφερθείτε.

Επιβεβαιώστε ότι το Route 53 διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το Route 53 απαντά στα DNS ερωτήματα για τον τομέα σας. Ελέγξτε ότι οι nameservers του τομέα σας δείχνουν στους τέσσερις nameservers του Route 53 που αναφέρονται για το hosted zone σας. Ανοίξτε την κονσόλα Route 53, μεταβείτε στα Hosted zones, ανοίξτε τον τομέα σας, και σημειώστε τις τιμές εγγραφής NS — η ρύθμιση nameserver του registrar σας πρέπει να ταιριάζει με αυτές. Αν οι nameservers σας δείχνουν αλλού, ενεργοποιήστε το DNSSEC στον παροχό που διαχειρίζεται το DNS σας.

Βήμα προς βήμα στο Route 53

1. Συνδεθείτε στην κονσόλα AWS και ανοίξτε το Route 53.
2. Μεταβείτε στα Hosted zones και ανοίξτε το hosted zone για τον τομέα σας.
3. Ανοίξτε την καρτέλα DNSSEC signing και επιλέξτε Enable DNSSEC signing.
4. Για το key-signing key (KSK), πρέπει να παρέχετε ένα customer managed KMS key:
   • Επιλέξτε Create customer managed key (ή επιλέξτε υπάρχον κατάλληλο).
   • Το κλειδί πρέπει να είναι asymmetric με χρήση Sign and verify, χρησιμοποιώντας την spec ECC_NIST_P256, και πρέπει να βρίσκεται στην περιοχή US East (N. Virginia) us-east-1 — το DNSSEC του Route 53 απαιτεί το κλειδί σε εκείνη την περιοχή.
   • Δώστε στο KSK ένα όνομα.
5. Επιβεβαιώστε και ενεργοποιήστε την υπογραφή. Το Route 53 υπογράφει τώρα το hosted zone.
6. Ακόμα στην καρτέλα DNSSEC signing, βρείτε DS record / Establish a chain of trust. Το Route 53 εμφανίζει τις τιμές που χρειάζεστε, συμπεριλαμβανομένων Key Tag, Signing algorithm, Digest algorithm, και του Digest (και συχνά μια έτοιμη γραμμή DS record).
7. Τώρα μεταβείτε στον registrar σας και προσθέστε την εγγραφή DS:
   • Αν ο τομέας είναι καταχωρημένος στο Route 53 (Amazon Registrar): η κονσόλα μπορεί να σας καθοδηγήσει κάτω από τις ρυθμίσεις τομέα — ή αντιγράψτε τις τιμές στην ενότητα DNSSEC του τομέα.
   • Αν ο registrar σας είναι διαφορετική εταιρεία: ανοίξτε την ενότητα DNSSEC / DS record και εισάγετε ακριβώς τις τιμές από το βήμα 6 — Key Tag, Algorithm (συνήθως 13), Digest Type (συνήθως 2), και τον Digest.
8. Αποθηκεύστε στον registrar. Η αλυσίδα εμπιστοσύνης είναι πλήρης μόλις η εγγραφή DS γίνει αποδεκτή στη γονική ζώνη.

Συνηθισμένα λάθη στο Route 53

• Το κλειδί KMS πρέπει να βρίσκεται στο us-east-1. Το DNSSEC του Route 53 δεν αποδέχεται κλειδί KSK από άλλη περιοχή — αυτό είναι το πρώτο σημείο που κολλάνε οι χρήστες.
• Χρησιμοποιήστε τον σωστό τύπο κλειδιού. Πρέπει να είναι asymmetric, sign-and-verify, ECC_NIST_P256 κλειδί KMS. Symmetric ή λανθασμένης spec κλειδί δεν θα λειτουργήσει ως KSK.
• Δύο συστήματα, όχι ένα. Η ενεργοποίηση υπογραφής στο Route 53 μόνο δεν κάνει τίποτα από μόνη της — η εγγραφή DS πρέπει επίσης να φτάσει στον registrar. Πολλοί σταματούν μετά το βήμα 5 και απορούν γιατί δεν επικυρώνεται ποτέ.
• Αντιγράψτε το digest ακριβώς. Ένας μόνο λάθος χαρακτήρας στον Digest σημαίνει ότι η εγγραφή DS του registrar δεν θα ταιριάζει με το signing key του Route 53 — η ακριβής εσφαλμένη ρύθμιση που θέτει έναν τομέα εκτός λειτουργίας. Επικολλήστε, μην ξαναπληκτρολογήσετε.
• Μην διαγράψετε το κλειδί KMS ενώ η υπογραφή είναι ενεργή. Και μην αφαιρέσετε ποτέ την εγγραφή DS στον registrar ενώ το Route 53 υπογράφει ακόμα.
• Απενεργοποιήστε με τη σωστή σειρά πριν μεταφέρετε DNS. Για μεταφορά: αφαιρέστε πρώτα την εγγραφή DS στον registrar, περιμένετε να εκκαθαριστεί, μετά απενεργοποιήστε την υπογραφή στο Route 53 — όχι το αντίθετο.
• Δώστε χρόνο. Οι αλλαγές DNSSEC μπορεί να χρειαστούν από λεπτά έως μία ημέρα για να διαδοθούν πλήρως και να επικυρωθούν.

Επαληθεύστε ότι λειτουργεί

Μόλις ενεργοποιηθεί η υπογραφή στο Route 53 και η εγγραφή DS βρίσκεται στη θέση της στον registrar σας, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν το DNSSEC είναι σωστά δημοσιευμένο και αξιόπιστο για τον τομέα σας.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.