Defaults.Exposed › راه‌اندازی › DNSSEC

راه‌اندازی DNSSEC در AWS Route 53

امضای DNSSEC را در Route 53 با یک کلید KMS فعال کنید و رکورد DS را در رجیسترارتان اضافه کنید تا هیچ‌کس نتواند پاسخ‌های DNS شما را جعل کند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

وقتی کسی از وب‌سایت شما بازدید می‌کند یا برایتان ایمیل می‌فرستد، کامپیوتر آن‌ها ابتدا از سیستم DNS درخواست آدرس درست می‌کند. این پاسخ‌ها معمولاً بدون امضا سفر می‌کنند، بنابراین یک مهاجم که می‌تواند در جستجو دخالت کند می‌تواند بازدیدکنندگان شما را به آرامی به یک سایت جعلی هدایت کند یا ایمیل شما را به سرور خودش منحرف کند — در حالی که دامنه واقعی شما همچنان در نوار آدرس نشان می‌دهد.

DNSSEC این را جلوگیری می‌کند. پاسخ‌های DNS شما را رمزنگاری امضا می‌کند، بنابراین هر کسی که شما را جستجو می‌کند می‌تواند ثابت کند پاسخ واقعاً از شما آمده و در راه تغییر نکرده است. به زبان ساده: هایجک دامنه و مسموم‌سازی cache را مسدود می‌کند، حملاتی که دامنه خودتان را علیه مشتریانتان به کار می‌گیرند. به عنوان یک ویژگی رایگان است (کلید امضا از یک کلید کوچک AWS KMS استفاده می‌کند که هزینه ماهانه کمی دارد)، و یکی از قوی‌ترین محافظت‌هایی است که می‌توانید فعال کنید.

نحوه کارکرد DNSSEC در Route 53

Route 53 کار را به شکلی تقسیم می‌کند که ارزش دارد قبل از شروع بدانید:

• Route 53 hosted zone شما را با استفاده از یک کلید ذخیره‌شده در AWS KMS (Key Management Service) امضا می‌کند. فعال کردن امضا، کلیدهای عمومی (یک DNSKEY) را منتشر می‌کند و یک رکورد DS تولید می‌کند.
• رجیسترار شما — شرکتی که دامنه را با آن تمدید می‌کنید — باید سپس آن رکورد DS را در zone والد (مثلاً .com) منتشر کند تا بقیه اینترنت به امضاها اعتماد کند.

اگر دامنه را از طریق Route 53 (Amazon Registrar) ثبت کرده‌اید، مرحله رجیسترار هنوز لازم است، اما در کنسول AWS انجام می‌شود. اگر رجیسترار شما شرکت دیگری است، رکورد DS را دستی آنجا کپی می‌کنید.

خطر واقعی — این را با دقت انجام دهید

DNSSEC می‌تواند کل دامنه شما را آفلاین کند اگر اشتباه پیکربندی شود. دو روش که این اتفاق می‌افتد:

• یک رکورد DS در رجیسترار که با کلیدی که Route 53 با آن امضا می‌کند مطابقت ندارد.
• غیرفعال کردن امضا، حذف کلید KMS، یا انتقال DNS از Route 53 بدون اینکه ابتدا رکورد DS را در رجیسترار حذف کنید — رکورد DS قدیمی همچنان امضاهایی را مطالبه می‌کند که دیگر وجود ندارند، و جستجوها شکست می‌خورند.

ترتیب زیر را دقیقاً دنبال کنید. و اگر هرگز DNS را از Route 53 مهاجرت کردید، ابتدا رکورد DS را در رجیسترار حذف کنید و امضا را غیرفعال کنید، سپس منتقل شوید.

تأیید کنید که Route 53 DNS شما را اداره می‌کند

این فقط در صورتی کار می‌کند که Route 53 پاسخ DNS دامنه شما را بدهد. بررسی کنید nameservers دامنه شما به چهار nameserver Route 53 فهرست‌شده برای hosted zone شما اشاره می‌کنند. کنسول Route 53 را باز کنید، به Hosted zones بروید، دامنه‌تان را باز کنید، و مقادیر رکورد NS را یادداشت کنید — تنظیم nameserver رجیسترارتان باید با این‌ها مطابقت داشته باشد. اگر nameservers شما به جای دیگری اشاره می‌کنند، DNSSEC را در آن سرویس‌دهنده DNS فعال کنید.

راهنمای گام‌به‌گام در Route 53

1. وارد کنسول AWS شوید و Route 53 را باز کنید.
2. به Hosted zones بروید و hosted zone دامنه‌تان را باز کنید.
3. تب DNSSEC signing را باز کنید و Enable DNSSEC signing را انتخاب کنید.
4. برای key-signing key (KSK)، باید یک کلید KMS مدیریت‌شده توسط مشتری ارائه دهید:
   • Create customer managed key را انتخاب کنید (یا یک کلید واجد شرایط موجود را انتخاب کنید).
   • کلید باید یک کلید asymmetric با استفاده Sign and verify باشد، از مشخصات ECC_NIST_P256، و باید در منطقه US East (N. Virginia) us-east-1 باشد — DNSSEC Route 53 کلید را در آن منطقه می‌خواهد.
   • به KSK یک نام بدهید.
5. تأیید کنید و enable signing را بزنید. Route 53 اکنون hosted zone را امضا می‌کند.
6. همچنان در تب DNSSEC signing، DS record / Establish a chain of trust را پیدا کنید. Route 53 مقادیری که نیاز دارید را نمایش می‌دهد، از جمله Key Tag، Signing algorithm، Digest algorithm، و Digest (و اغلب یک خط رکورد DS آماده).
7. حالا به رجیسترار خود بروید و رکورد DS را اضافه کنید:
   • اگر دامنه در Route 53 (Amazon Registrar) ثبت شده: کنسول می‌تواند شما را در زیر تنظیمات دامنه راهنمایی کند — یا مقادیر را در بخش DNSSEC دامنه وارد کنید.
   • اگر رجیسترار شما شرکت دیگری است: بخش DNSSEC / رکورد DS آن را باز کنید و مقادیر مرحله 6 را دقیقاً وارد کنید — Key Tag، Algorithm (معمولاً 13)، Digest Type (معمولاً 2)، و Digest.
8. در رجیسترار ذخیره کنید. زنجیره اعتماد پس از پذیرفته شدن رکورد DS در zone والد کامل است.

اشتباهات رایج در Route 53

• کلید KMS باید در us-east-1 باشد. DNSSEC Route 53 یک کلید KSK از منطقه دیگری را قبول نمی‌کند — این اول چیزی است که افراد را گیر می‌اندازد.
• از نوع کلید درست استفاده کنید. باید یک کلید KMS asymmetric, sign-and-verify, ECC_NIST_P256 باشد. یک کلید متقارن یا با مشخصات اشتباه به عنوان KSK کار نخواهد کرد.
• دو سیستم، نه یکی. فعال کردن امضا در Route 53 به تنهایی هیچ تأثیری ندارد — رکورد DS باید به رجیسترار هم برسد. افراد بعد از مرحله 5 متوقف می‌شوند و تعجب می‌کنند چرا هرگز اعتبارسنجی نمی‌شود.
• Digest را دقیقاً کپی کنید. یک کاراکتر اشتباه در Digest یعنی رکورد DS رجیسترار با کلید امضاکننده Route 53 مطابقت نخواهد داشت — همان پیکربندی اشتباهی که یک دامنه را آفلاین می‌کند. paste کنید، هرگز دوباره تایپ نکنید.
• کلید KMS را در حالی که امضا فعال است حذف نکنید. و هرگز رکورد DS را در رجیسترار در حالی که Route 53 هنوز امضا می‌کند حذف نکنید.
• قبل از انتقال DNS، به ترتیب درست غیرفعال کنید. برای مهاجرت: رکورد DS را در رجیسترار حذف کنید، صبر کنید تا پاک شود، سپس امضا را در Route 53 غیرفعال کنید — نه به ترتیب معکوس.
• صبور باشید. تغییرات DNSSEC ممکن است از چند دقیقه تا یک روز طول بکشد تا کاملاً منتشر شوند و اعتبارسنجی شوند.

تأیید کنید که کار کرد

پس از اینکه امضا در Route 53 فعال شد و رکورد DS در رجیسترارتان در جای خود بود، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا DNSSEC به درستی منتشر شده و برای دامنه شما مورد اعتماد است.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.