סקירה כללית על תוספי אבטחה של DNS‏ (DNSSEC)

תוספי האבטחה של DNS‏ (DNSSEC) הם תכונה של מערכת שמות הדומיין (DNS) שמאמתת תגובות לחיפושי שמות דומיין. הוא לא מספק הגנה על הפרטיות בחיפושים האלה, אבל הוא מונע מתוקפים לשנות את התשובות לבקשות DNS או להוסיף להן נתונים שגויים.

כדי להגן על דומיינים מפני התקפות זיוף והרעלה, צריך להפעיל ולהגדיר DNSSEC במקומות הבאים:

1. תחום ה-DNS. אם מפעילים DNSSEC לאזור, Cloud DNS מנהל באופן אוטומטי את היצירה והרוטציה של מפתחות DNSSEC (רשומות DNSKEY) ואת החתימה של נתוני האזור באמצעות רשומות חתימה דיגיטלית של רשומות משאבים (RRSIG).

2. מרשם הדומיינים ברמה העליונה (TLD) (במקרה של example.com, זה יהיה .com). במרשם הדומיינים ברמה העליונה, צריכה להיות רשומת DS שמאמתת רשומת DNSKEY באזור שלכם. כדי לעשות זאת, צריך להפעיל DNSSEC אצל רשם הדומיין.

3. מפענח ה-DNS. כדי לקבל הגנה מלאה של DNSSEC, צריך להשתמש במפענח DNS שמאמת חתימות של דומיינים עם חתימת DNSSEC. אם אתם מנהלים את שירותי ה-DNS של הרשת, אתם יכולים להפעיל אימות למערכות נפרדות או למפענחי מטמון מקומיים.

   מידע נוסף על אימות DNSSEC זמין במקורות המידע הבאים:

   • האם הפעלת אימות DNSSEC?
   • הטמעה של DNSSEC באמצעות BIND ו-Ubuntu Server (חלק 1)
   • מדריך DNSSEC: פרק 3. אימות
   • DNSSEC

   אפשר גם להגדיר את המערכות לשימוש במקודדי DNS ציבוריים שמאמתים DNSSEC, כמו Google Public DNS ו-Verisign Public DNS.

הנקודה השנייה מגבילה את שמות הדומיינים שבהם DNSSEC יכול לפעול. הרשם והמרשם צריכים לתמוך ב-DNSSEC עבור הדומיין ברמה העליונה שבו אתם משתמשים. אם אי אפשר להוסיף רשומת DS דרך רשם הדומיינים כדי להפעיל DNSSEC, הפעלת DNSSEC ב-Cloud DNS לא תשפיע.

לפני שמפעילים DNSSEC, כדאי לעיין במקורות המידע הבאים:

• התיעוד של DNSSEC עבור רשם הדומיינים ומרשם ה-TLD
• הוראות ספציפיות לרשם הדומיינים Google Cloud במדריך הקהילה
• רשימת ICANN של רשמי דומיינים שתומכים ב-DNSSEC כדי לאשר את התמיכה ב-DNSSEC בדומיין שלכם.

אם רשם ה-TLD תומך ב-DNSSEC, אבל הרשם שלכם לא תומך (או לא תומך ב-DNSSEC עבור ה-TLD הזה), יכול להיות שתוכלו להעביר את הדומיינים לרשם אחר שכן תומך. אחרי שתשלימו את התהליך הזה, תוכלו להפעיל DNSSEC לדומיין.

פעולות ניהול

הוראות מפורטות לניהול DNSSEC זמינות במקורות המידע הבאים:

• כדי לשנות את מצב ה-DNSSEC של האזור מ-Transfer ל-On, אפשר לעיין במאמר יציאה ממצב העברה של DNSSEC.

• כדי להפעיל DNSSEC בתת-דומיינים שהוקצו, אפשר לעיין במאמר בנושא הקצאת תת-דומיינים עם חתימת DNSSEC.

סוגים של קבוצות רשומות שמשופרים על ידי DNSSEC

מידע נוסף על סוגים של קבוצות רשומות וסוגים אחרים של רשומות זמין במקורות המידע הבאים:

• כדי לקבוע אילו רשויות ציבוריות שמנפיקות אישורים (CA) יכולות ליצור אישורי TLS או אישורים אחרים לדומיין שלכם, אפשר לעיין במאמר בנושא רשומות CAA.

• כדי להפעיל הצפנה אופורטוניסטית דרך מנהרות IPsec, אפשר לעיין במאמר בנושא רשומות IPSECKEY.

סוגים של רשומות DNS עם אזורים מאובטחים באמצעות DNSSEC

מידע נוסף על סוגים של רשומות DNS וסוגים אחרים של רשומות זמין במקור המידע הבא:

• כדי לאפשר לאפליקציות לקוח SSH לאמת שרתי SSH, אפשר לעיין במאמר בנושא רשומות SSHFP.

העברה של אזורים שמופעל בהם DNSSEC

‫Cloud DNS תומך בהעברת אזורים שמופעל בהם DNSSEC, שבו DNSSEC הופעל במרשם הדומיינים בלי לשבור את שרשרת האמון. אפשר להעביר אזורים אל או מפעילים אחרים של DNS שתומכים גם בהעברה.

• כדי להעביר אזור עם חתימת DNSSEC אל Cloud DNS, אפשר לעיין במאמר בנושא העברת אזורים עם חתימת DNSSEC אל Cloud DNS.

• כדי להעביר אזור עם חתימת DNSSEC למפעיל DNS אחר, אפשר לעיין במאמר בנושא העברת אזורים עם חתימת DNSSEC מ-Cloud DNS.

אם הדומיין הקיים שלכם מתארח אצל הרשם, מומלץ להעביר את שרתי השמות ל-Cloud DNS לפני ההעברה לרשם אחר.

המאמרים הבאים

• כדי לראות את רשומות המפתחות של DNSSEC, אפשר לעיין במאמר בנושא הצגת מפתחות DNSSEC.
• מידע נוסף על אזורים מנוהלים זמין במאמר יצירה, שינוי ומחיקה של אזורים.
• כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן במהלך השימוש ב-Cloud DNS, אפשר לעיין במאמר בנושא פתרון בעיות.
• בסקירה הכללית על Cloud DNS תוכלו לקרוא על Cloud DNS.