סקירה כללית על תוספי אבטחה של DNS‏ (DNSSEC)

תוספי האבטחה של מערכת שמות הדומיינים (DNSSEC) הם תכונה של מערכת שמות הדומיינים (DNS) שמשמשת לאימות התשובות לחיפושי שמות דומיינים. הוא לא מספק הגנה על הפרטיות בחיפושים האלה, אבל מונע מתוקפים לבצע מניפולציה בתשובות לבקשות DNS או להרעיל אותן.

כדי להגן על דומיינים מפני התקפות זיוף והרעלה, צריך להפעיל ולהגדיר את DNSSEC במקומות הבאים:

1. תחום ה-DNS. אם מפעילים את DNSSEC לאזור, מערכת Cloud DNS מנהלת באופן אוטומטי את היצירה והרוטציה של מפתחות DNSSEC (רשומות DNSKEY) ואת החתימה על נתוני האזור באמצעות רשומות RRSIG (חתימה דיגיטלית של רשומות משאבים).

2. המרשם של הדומיין ברמה העליונה (TLD) (עבור example.com, זה יהיה .com). במרשם ה-TLD, צריכה להיות רשומת DS שמאמתת רשומת DNSKEY באזור שלכם. כדי לעשות זאת, מפעילים את DNSSEC אצל רשם הדומיין.

3. מקודד ה-DNS. כדי לקבל הגנה מלאה של DNSSEC, צריך להשתמש בפותר DNS שמאמת חתימות של דומיינים עם DNSSEC. אם אתם מנהלים את שירותי ה-DNS של הרשת, אתם יכולים להפעיל אימות במערכות ספציפיות או בפותרי ה-DNS המקומיים שלכם שמאוחסנים במטמון.

   מידע נוסף על אימות DNSSEC זמין במקורות המידע הבאים:

   • האם האימות של DNSSEC מופעל?
   • פריסה של DNSSEC באמצעות BIND ו-Ubuntu Server (חלק 1)
   • מדריך DNSSEC: פרק 3. אימות
   • DNSSEC

   אפשר גם להגדיר מערכות כך שישתמשו במפצים ציבוריים שמאמתים את DNSSEC, במיוחד Google Public DNS ו-Verisign Public DNS.

הנקודה השנייה מגבילה את שמות הדומיינים שבהם DNSSEC יכול לפעול. גם הרשם וגם המרשם חייבים לתמוך ב-DNSSEC לדומיין ברמה העליונה שבו אתם משתמשים. אם אתם לא יכולים להוסיף רשומת DS דרך רשם הדומיינים כדי להפעיל את DNSSEC, הפעלת DNSSEC ב-Cloud DNS לא תשפיע.

לפני שמפעילים את DNSSEC, כדאי לעיין במקורות המידע הבאים:

• המסמכים של DNSSEC גם עבור רשם הדומיינים וגם עבור המרשם של הדומיין ברמה העליונה (TLD)
• ההוראות הספציפיות לרשם הדומיין שמפורטות בTrusted Cloud by S3NS מדריך הקהילה
• הרשימה של ICANN של רשמי דומיינים שתומכים ב-DNSSEC כדי לוודא שיש תמיכה ב-DNSSEC בדומיין שלכם.

אם מרשם הדומיין ברמה העליונה תומך ב-DNSSEC אבל הרשם שלכם לא תומך בו (או לא תומך בו ברמה העליונה הזו), יכול להיות שתוכלו להעביר את הדומיינים לרשם אחר שתומך ב-DNSSEC. לאחר השלמת התהליך, תוכלו להפעיל את DNSSEC בדומיין.

פעולות ניהול

להוראות מפורטות לניהול DNSSEC, אפשר לעיין במקורות המידע הבאים:

• כדי לשנות את מצב ה-DNSSEC של הדומיין מ-Transfer ל-On, תוכלו לעיין במאמר יציאה ממצב העברה של DNSSEC.

• במאמר הענקת גישה לתת-דומיינים עם חתימת DNSSEC מוסבר איך מפעילים את DNSSEC בתת-דומיינים שהוקצו.

סוגי קבוצות רשומות ששודרגו באמצעות DNSSEC

מידע נוסף על סוגי קבוצות רשומות ועל סוגי רשומות אחרים זמין במקורות המידע הבאים:

• כדי לקבוע אילו רשויות אישורים ציבוריות (CA) יכולות ליצור אישורי TLS או אישורים אחרים לדומיין שלכם, קראו את המאמר רשומות CAA.

• במאמר רשומות IPSECKEY מוסבר איך מפעילים הצפנה יזומה דרך מנהרות IPsec.

סוגי רשומות DNS עם תחומים מאובטחים באמצעות DNSSEC

מידע נוסף על סוגי רשומות DNS ועל סוגי רשומות אחרים זמין במקור המידע הבא:

• כדי לאפשר לאפליקציות לקוח SSH לאמת שרתים של SSH, תוכלו לעיין במאמר רשומות SSHFP.

העברה או העברה של תחומים שמופעלים בהם DNSSEC

Cloud DNS תומך בהעברת תחומים שמופעלת בהם תמיכה ב-DNSSEC, שבהם DNSSEC הופעל במרשם הדומיינים, בלי לשבור את שרשרת האמון. אפשר להעביר תחומים למפעילי DNS אחרים שתומכים בהעברה, או להעביר אותם מהם.

• במאמר העברת תחומים עם חתימה של DNSSEC אל Cloud DNS מוסבר איך עושים זאת.

• במאמר העברת תחומים עם חתימה של DNSSEC מ-Cloud DNS מוסבר איך מעבירים תחום עם חתימה של DNSSEC למפעיל DNS אחר.

אם הדומיין הקיים מתארח אצל הרשם, מומלץ להעביר את שרתי השמות ל-Cloud DNS לפני ההעברה לרשם אחר.

המאמרים הבאים

• במאמר הצגת מפתחות DNSSEC מוסבר איך מציגים רשומות של מפתחות DNSSEC.
• במאמר יצירה, שינוי ומחיקה של תחומים מוסבר איך עובדים עם תחומים מנוהלים.
• במאמר פתרון בעיות מפורטות פתרונות לבעיות נפוצות שעשויות להתרחש במהלך השימוש ב-Cloud DNS.
• בסקירה הכללית על Cloud DNS תוכלו לקרוא מידע נוסף על Cloud DNS.