Hallo, Ich möchte einen lokalen DNSSEC-Server im lokalen Netzwerk zur Verfügung stellen. Die Idee ist, dass alle Server und Workstation die Abfragen über diesen DNS-Server machen. Somit muss ich nur ein Gerät konfigurieren um gesicherte Abfragen zu erhalten. Funktioniert dies so korrekt und macht es Sinn? Wenn ja, auf was muss ich achten? Danke für eure Hilfe.
Lokaler DNSSEC-Server
Anmeldungsdatum: Beiträge: 40 |
|
Anmeldungsdatum: Beiträge: 12067 |
Hallo! Du kannst dir einen lokalen dnsmasq einrichten. Der unterstützt das. Du musst lediglich in der Konfiguration conf-file=/usr/share/dnsmasq/trust-anchors.conf dnssec dnssec-check-unsigned eintragen / aktivieren und dann kümmert der sich drum. In besagter trust-anchors.conf sind im Normalfall die Daten von https://data.iana.org/root-anchors/root-anchors.xml hinterlegt. Ob dein Setup funktioniert, kannst du unter dnssec-tools 🇬🇧 prüfen. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 40 |
Hallo Danke für den Tip. Alles hat soweit funktioniert, nur habe ich keine Datei mit dem Nahmen trust-achors.conf gefunden. Kann ich die selber erstellen? Gibt es diese Möglichkeit wie mit dnsmasq auch mit bind9? |
Anmeldungsdatum: Beiträge: 12067 |
Die Datei heisst trust-anchors.conf. Und ja, falls du keine hast, könntest du die erstellen. Könnte auch /usr/share/dnsmasq-base/trust-anchors.conf sein. Zumindest auf meinem Desktop-focal nutzt er diesen Pfad, ist allerdings veraltet, da steht auch noch der 2019er mit drin. Die neue Datei sollte trust-anchor=.,20326,8,2,E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D enthalten.
Klar → https://www.isc.org/dnssec/ 🇬🇧, inkl. Anleitung. |