Defaults.Exposed › Diegimas › DNSSEC

Kaip nustatyti DNSSEC „AWS Route 53” sistemoje

Įjunkite DNSSEC pasirašymą „Route 53” sistemoje su KMS raktu ir pridėkite DS įrašą prie savo registratoriaus, kad niekas negalėtų klastoti jūsų DNS atsakymų.

Kodėl tai svarbu jūsų verslui

Kai kas nors apsilanko jūsų svetainėje ar siunčia jums el. laišką, jų kompiuteris pirmiausia paklausia DNS sistemos tinkamo adreso. Šie atsakymai paprastai keliauja nepasirašyti, todėl užpuolikas, galintis suardyti užklausą, gali tyliai nukreipti jūsų lankytojus į suklastotą svetainę arba peradresuoti jūsų el. paštą į savo serverį — o tikras jūsų domenas vis tiek rodomas adresų juostoje.

DNSSEC tai apsaugo. Jis kriptografiškai pasirašo jūsų DNS atsakymus, todėl bet kas jūsų ieškantis gali įrodyti, kad atsakymas tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Paprastai tariant: tai blokuoja domenų užgrobimą ir talpyklos apsinuodijimą — atakas, paverčiančias jūsų domeną prieš jūsų klientus. Tai nemokama kaip funkcija (pasirašymo raktas naudoja nedidelį AWS KMS raktą, kuriam tenka nedidelė mėnesinė išlaida) ir yra viena stipriausių apsaugų, kurias galite įjungti.

Kaip DNSSEC veikia „Route 53” sistemoje

„Route 53” paskirsto darbą taip, kaip verta suprasti prieš pradedant:

• „Route 53” pasirašo jūsų prieglobos zoną naudodamas raktą, saugomą AWS KMS (Key Management Service). Pasirašymo įjungimas skelbia viešuosius raktus (DNSKEY) ir sukuria DS įrašą.
• Jūsų registratorius — įmonė, iš kurios atnaujinate domeną — tada privalo paskelbti tą DS įrašą pirminėje zonoje (pvz., .com), kad likęs internetas patikėtų parašais.

Jei domeną registravote per „Route 53” (Amazon Registrar) — registratoriaus žingsnis vis tiek būtinas, bet jis atliekamas AWS konsolėje. Jei jūsų registratorius yra kita įmonė — DS įrašą ten nukopijuosite rankiniu būdu.

Tikroji rizika — darykite tai atsargiai

DNSSEC gali išjungti visą jūsų domeną, jei jis neteisingai sukonfigūruotas. Du scenarijų, kuriuose tai nutinka:

• DS įrašas pas registratorių, kuris nesutampa su raktu, kuriuo pasirašo „Route 53”.
• Pasirašymo išjungimas, KMS rakto ištrynimas arba DNS perkėlimas iš „Route 53” prieš tai nepašalinus DS įrašo pas registratorių — likęs DS įrašas toliau reikalauja parašų, kurių nebėra, ir užklausos nepavyksta.

Sekite toliau pateiktą tvarką tiksliai. Ir jei kada nors perkeliate DNS iš „Route 53” — pirmiausia pašalinkite DS įrašą pas registratorių ir išjunkite pasirašymą, tada perkelkite.

Patvirtinkite, kad „Route 53” valdo jūsų DNS

Tai veikia tik jei „Route 53” atsako į DNS užklausas jūsų domenui. Patikrinkite, ar jūsų domeno vardų serveriai nukreipti į keturis „Route 53” vardų serverius, išvardytus jūsų prieglobos zonoje. Atidarykite Route 53 konsolę, eikite į Hosted zones, atidarykite savo domeną ir pažymėkite NS įrašo reikšmes — jūsų registratoriaus vardų serverio nustatymas turi sutapti su šiomis. Jei vardų serveriai nukreipti kitur — įjunkite DNSSEC pas tą DNS tiekėją.

Žingsniai „Route 53” sistemoje

1. Prisijunkite prie AWS konsolės ir atidarykite Route 53.
2. Eikite į Hosted zones ir atidarykite savo domeno prieglobos zoną.
3. Atidarykite skirtuką DNSSEC signing ir pasirinkite Enable DNSSEC signing.
4. Raktą pasirašančiajam raktui (KSK) turite pateikti kliento valdomą KMS raktą:
   • Pasirinkite Create customer managed key (arba pasirinkite esamą tinkamą).
   • Raktas turi būti asimetrinis su naudojimo tikslu Sign and verify, naudojant specifikaciją ECC_NIST_P256, ir turi būti regione US East (N. Virginia) us-east-1 — „Route 53” DNSSEC reikalauja rakto tame regione.
   • Suteikite KSK pavadinimą.
5. Patvirtinkite ir įjunkite pasirašymą. „Route 53” dabar pasirašo prieglobos zoną.
6. Vis dar skirtuke DNSSEC signing raskite DS record / Establish a chain of trust. „Route 53” rodo reikšmes, kurių jums reikia, įskaitant Key Tag, Signing algorithm, Digest algorithm ir Digest (ir dažnai paruoštą DS įrašo eilutę).
7. Dabar eikite pas savo registratorių ir pridėkite DS įrašą:
   • Jei domenas registruotas „Route 53” (Amazon Registrar): konsolė gali padėti per tai domeno nustatymuose — arba nukopijuokite reikšmes į domeno DNSSEC skyrių.
   • Jei jūsų registratorius yra kita įmonė: atidarykite jo DNSSEC / DS įrašo skyrių ir įveskite tikslias 6 žingsnio reikšmes — Key Tag, Algorithm (paprastai 13), Digest Type (paprastai 2) ir Digest.
8. Išsaugokite pas registratorių. Pasitikėjimo grandinė yra baigta, kai DS įrašas priimtas pirminėje zonoje.

Dažnos klaidos „Route 53” sistemoje

• KMS raktas turi būti us-east-1. „Route 53” DNSSEC nepriims KSK rakto iš kito regiono — tai pirmoji kliūtis, į kurią žmonės atsimuša.
• Naudokite tinkamą rakto tipą. Jis turi būti asimetrinis, sign-and-verify, ECC_NIST_P256 KMS raktas. Simetrinis arba netinkamos specifikacijos raktas neveiks kaip KSK.
• Dvi sistemos, ne viena. Vien pasirašymo įjungimas „Route 53” sistemoje nieko neduoda — DS įrašas taip pat turi pasiekti registratorių. Žmonės sustoja po 5 žingsnio ir stebisi, kodėl jis niekada nepatvirtinamas.
• Nukopijuokite digest tiksliai. Vienas neteisingas simbolis Digest reikšmėje reiškia, kad registratoriaus DS įrašas nesutaps su „Route 53” pasirašymo raktu — tai būtent ta konfigūracijos klaida, kuri išjungia domeną. Kopijuokite, niekada neperrašykite.
• Neištrinkite KMS rakto, kol pasirašymas aktyvus. Ir niekada nepašalinkite DS įrašo pas registratorių, kol „Route 53” vis dar pasirašo.
• Išjunkite teisinga tvarka prieš perkeldami DNS. Migracijai: pašalinkite DS įrašą pas registratorių, palaukite kol jis išnyks, tada išjunkite pasirašymą „Route 53” — ne atvirkščiai.
• Palaukite. DNSSEC pakeitimai gali užtrukti nuo kelių minučių iki dienos, kol visiškai propagavosi ir patvirtinti.

Patikrinkite, ar veikia

Kai pasirašymas įjungtas „Route 53” ir DS įrašas yra pas jūsų registratorių — paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar DNSSEC teisingai paskelbtas ir patikimas jūsų domenui.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.