На главную страницу  
+7 (499) 124-62-26
О компании Продукты Демо-версии Купить Цены Контакты Решения
OpenVPN-ГОСТ
КриптоСервер
КриптоТуннель
Защита RDP
КриптоПакет
"Вьюга"

МагПро DNS. DNSSEC FAQ


  1. Что такое DNSSEC?

    DNSSEC — это расширение DNS, позволяющее удостовериться в подлинности ответа от DNS сервера, и таким образом защититься от ряда атак.


  2. Как работает DNSSEC?

    При использовании DNSSEC ряд записей в зоне подписывается электронной подписью (ЭП), в том числе подписываются записи о ключах, которыми подписаны зоны нижележащих доменов. Во время выполнения операции разрешения имени эта подпись проверяется, что не позволяет подменить получаемый адрес. Более подробно механизмы работы DNSSEC изложены в документе DNSSEC HowTo, который можно загрузить по адресу:
    http://training.nlnetlabs.nl/Documentation/dnssec_howto.pdf .


  3. Работает ли DNSSEC с российскими криптоалгоритмами?

    Да. На данный момент российские криптоалгоритмы включены в RFC 5933.


  4. Работает ли DNSSEC с сертифицированными криптосредствами?

    «МагПро DNS» — продукт, созданный для тех, кому требуется сертифицированное решение DNS с поддержкой DNSSEC. Этот продукт опирается на СКЗИ «МагПро КриптоПакет 2.0», который в данный момент находится на сертификации.


  5. Как мне настроить OpenSSL 1.0.0 для работы с МагПро DNS?

    Инструкция по установке и настройке OpenSSL 1.0.0 доступна на странице
    Установка и настройка OpenSSL 1.0.0


  6. Как мне настроить резолвер имен для работы с DNSSEC и российскими криптоалгоритмами?

    Для этого вам необходимо воспользоваться резолверами поддерживающими российские алгоритмы шифрования, соответсвтующие ГОСТ. Инструкции по установке и настройке резолвера unbound доступны на странице
    Установка и настройка Unbound+LDNS+NSD
    Инструкции по настройке BIND в качестве резолвера доступны на странице
    Установка и настройка DNS-сервера BIND


  7. Как мне настроить DNS-сервер для работы с DNSSEC и российскими криптоалгоритмами?

    Для работы вам потребуются DNS-сервер поддерживающий криптографию и подписанные зоны. В качестве DNS-сервера возможно использовать BIND с патчем, обеспечивающим поддержку алгоритмов ГОСТ или DNS-сервер NSD.
    Процедура настройки сервера заключается изменении конфигурационного файла, для установки режима работы с dnssec, и замене неподписанной зоны на подписанную.
    Подробнее с процессом сборки и настройки BIND можно ознакомиться на странице
    Установка и настройка DNS-сервера BIND
    Подробнее с процессом сборки и настройки NSD можно ознакомиться на странице
    Установка и настройка Unbound+LDNS+NSD


  8. Что такое доверенный ключ? Где мне взять доверенный ключ?

    Доверенный ключ — это ключ, необходимый для проверки ЭП записей зоны DNS-сервера являющегося точкой входа в защищенную доменную зону. Начиная с этого DNS-сервера будет строиться цепочка доверия, т.е. все сервера, которым доверяет данный сервер будут считаться доверенными. Ключ привязан к определенному домену и используется для проверки записей в этом домене. Доверенный ключ обычно публикуют на веб-сайте или распространяют по другим каналам.

  9. Как мне подписать зону?

    Чтобы подписать зону вам понадобится пара утилит dnssec-signzone + dnssec-keygen (от ISC) или ldns-signzone + ldns-keygen (от NLnet Labs).
    Если вы пользуетесь dnssec-signzone:
    Подписание зон с использованием утилиты dnssec-signzone
    Если вы пользуетесь ldns-signzone:
    Подписание зон с использованием утилиты ldns-signzone


  10. Как мне проверить работу DNS-сервера с поддержкой DNSSEC?

    Вы можете проверить DNS-сервер или резолвер при помощи утилит dig (от ISC) или drill (от NLnet Labs):
    Проверка DNSSEC при помощи утилиты «dig»
    Проверка DNSSEC при помощи утилиты «drill»

 
Copyright © ООО "Криптоком". 2001-2016. All Rights Reserved.