Defaults.Exposed › Beállítás › DNSSEC

Hogyan állítsuk be a DNSSEC-et AWS Route 53-on

Engedélyezd a DNSSEC aláírást a Route 53-ban KMS kulccsal, és add hozzá a DS rekordot a regisztrátornál, hogy senki ne tudja meghamisítani a DNS-válaszaidat.

Miért fontos ez a vállalkozásod szempontjából

Amikor valaki meglátogatja a weboldaladat, vagy e-mailt küld neked, a számítógépük először a DNS-rendszertől kéri a megfelelő címet. Ezek a válaszok általában aláíratlanul utaznak, így egy támadó, aki képes megzavarni a keresést, csendesen hamis oldalra irányíthatja a látogatóidat, vagy a saját szerverére terelheti az e-mailjeidet — miközben a valódi domained továbbra is megjelenik a böngésző címsorában.

A DNSSEC megakadályozza ezt. Kriptográfiai aláírással látja el a DNS-válaszokat, így bárki, aki rákeres, bizonyítani tudja, hogy a válasz valóban tőled érkezett, és útközben nem módosították. Egyszerűen fogalmazva: megakadályozza a domain-eltérítést és a gyorsítótár-mérgezést, azokat a támadásokat, amelyek a saját domainedet fordítják az ügyfeleid ellen. Funkció szintjén ingyenes (az aláírási kulcs egy kis AWS KMS kulcsot használ, amely egy kis havi díjjal jár), és az egyik legerősebb engedélyezhető védelem.

Hogyan működik a DNSSEC a Route 53-on

A Route 53 a feladatot olyan módon osztja fel, amelyet érdemes megérteni az indulás előtt:

• A Route 53 aláírja a hosztolt zónádat egy AWS KMS (Key Management Service) tárolt kulcs segítségével. Az aláírás bekapcsolása közzéteszi a nyilvános kulcsokat (egy DNSKEY-t), és előállít egy DS rekordot.
• A regisztrátornak — a cégnek, ahol a domaint megújítod — ezután közzé kell tennie ezt a DS rekordot a szülőzónában (például .com), hogy az internet többi része megbízhassa az aláírásokat.

Ha a domaint a Route 53-on keresztül regisztráltad (Amazon Registrar), a regisztrátori lépés még mindig szükséges, de az AWS konzolon belül hajtható végre. Ha a regisztrátor egy másik cég, a DS rekordot ott kézzel kell beírnod.

A valódi kockázat — ezt óvatosan csináld

A DNSSEC az egész domainedet offline-ra helyezheti, ha helytelenül van beállítva. Ez két esetben fordul elő:

• Ha a regisztrátornál lévő DS rekord nem egyezik azzal a kulccsal, amellyel a Route 53 aláír.
• Ha kikapcsolod az aláírást, törölöd a KMS kulcsot, vagy átköltözteted a DNS-t a Route 53-ról anélkül, hogy először eltávolítanád a DS rekordot a regisztrátornál — az elavult DS rekord tovább követeli az aláírásokat, amelyek már nem léteznek, és a keresések meghiúsulnak.

Kövesd pontosan az alábbi sorrendet. Ha valaha migrálja a DNS-t a Route 53-ról, előbb távolítsd el a DS rekordot a regisztrátornál és tiltsd le az aláírást, majd csak utána cost.

Ellenőrizd, hogy a Route 53 kezeli-e a DNS-edet

Ez csak akkor működik, ha a Route 53 szolgálja ki a domainedet. Ellenőrizd, hogy a domain névszerverei a hosztolt zónában felsorolt négy Route 53 névszerverre mutatnak. Nyisd meg a Route 53 konzolt, menj a Hosted zones részbe, nyisd meg a domainedet, és jegyezd fel az NS rekord értékeit — a regisztrátor névszerver-beállításának egyeznie kell ezekkel. Ha a névszerverek máshova mutatnak, a DNSSEC-et annál a szolgáltatónál kapcsold be, amelyik a DNS-edet kezeli.

Lépésről lépésre Route 53-on

1. Jelentkezz be az AWS konzolba, és nyisd meg a Route 53-at.
2. Menj a Hosted zones részbe, és nyisd meg a domainedet tartalmazó hosztolt zónát.
3. Nyisd meg a DNSSEC signing lapot, és válaszd az Enable DNSSEC signing lehetőséget.
4. A key-signing key (KSK) esetében meg kell adnod egy ügyfél által kezelt KMS kulcsot:
   • Válaszd a Create customer managed key lehetőséget (vagy válassz egy meglévő, megfelelő kulcsot).
   • A kulcsnak aszimmetrikus kulcsnak kell lennie, Sign and verify felhasználással, az ECC_NIST_P256 specifikációval, és az US East (N. Virginia) us-east-1 régióban kell lennie — a Route 53 DNSSEC megköveteli, hogy a kulcs ebben a régióban legyen.
   • Adj nevet a KSK-nak.
5. Erősítsd meg, és engedélyezd az aláírást. A Route 53 most aláírja a hosztolt zónát.
6. Még a DNSSEC signing lapon keresd meg a DS record / Establish a chain of trust részt. A Route 53 megjeleníti a szükséges értékeket, beleértve a Key Tag-et, az Signing algorithm-ot, a Digest algorithm-ot, és a Digest-et (és gyakran egy előre elkészített DS rekord sort).
7. Most menj a regisztrátorhoz, és add hozzá a DS rekordot:
   • Ha a domaint a Route 53-ban (Amazon Registrar) regisztráltad: a konzol a domain beállításain belül végigvezet — vagy másold be az értékeket a domain DNSSEC részébe.
   • Ha a regisztrátor egy másik cég: nyisd meg a DNSSEC / DS rekord részt, és írd be a 6. lépésből kapott értékeket pontosan — Key Tag, Algorithm (általában 13), Digest Type (általában 2) és a Digest.
8. Mentsd el a regisztrátornál. A bizalmi lánc kész, miután a DS rekordot elfogadják a szülőzónában.

Route 53-specifikus hibák, amelyeket sokan elkövetnek

• A KMS kulcsnak us-east-1-ben kell lennie. A Route 53 DNSSEC nem fogad el más régióból való KSK kulcsot — ez az első, amibe sokan beleakadnak.
• Használd a megfelelő kulcstípust. Aszimmetrikus, sign-and-verify, ECC_NIST_P256 KMS kulcsnak kell lennie. Szimmetrikus vagy nem megfelelő specifikációjú kulcs nem működhet KSK-ként.
• Két rendszer, nem egy. Az aláírás bekapcsolása a Route 53-ban önmagában semmit sem ér — a DS rekordnak el kell jutnia a regisztrátorhoz is. Sokan az 5. lépés után megállnak, és csodálkoznak, miért nem érvényesít soha.
• Pontosan másold le a digestet. Egyetlen hibás karakter a Digest-ben azt jelenti, hogy a regisztrátor DS rekordja nem fog egyezni a Route 53 aláírási kulcsával — ez pontosan az a helytelen konfiguráció, amely offline-ra helyez egy domaint. Másold és illeszd be, soha ne írd be kézzel.
• Ne töröld a KMS kulcsot, amíg az aláírás aktív. És soha ne távolítsd el a DS rekordot a regisztrátornál, amíg a Route 53 még aláír.
• A helyes sorrendben tiltsd le a DNS-váltás előtt. Migráláshoz: távolítsd el a DS rekordot a regisztrátornál, várd meg, amíg törlődik, majd tiltsd le az aláírást a Route 53-ban — ne fordítva.
• Adj időt neki. A DNSSEC változtatások néhány perctől akár egy napig is tarthatnak, mire teljesen propagálódnak és érvényesülnek.

Ellenőrizd, hogy működik-e

Miután az aláírás be van kapcsolva a Route 53-ban, és a DS rekord a helyén van a regisztrátornál, futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a DNSSEC helyesen van-e közzétéve és megbízhatóan kezelve a domainedhez.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.