Windows Server 2012 y DNSSEC

DNS es un componente crítico de cualquier infraestructura de TI incluyendo el Internet. DNS, simplemente traducir nombres de dominio tales como www.itpros.org.do  a direcciones IP. Esto permitirá a los usuarios de recordar fácilmente los nombres en lugar de direcciones IP que computadora puede entender. Active Directory depende casi todo en absoluto de DNS y es un requisito para cualquier infraestructura de TI. Puesto que DNS se ha diseñado en los primeros días, el DNS no es muy seguro. Los hackers pueden fácilmente configurar un servidor DNS y asegura que posee todos los dominios. Esto puede darle a los atacantes un mecanismo para desviar el tráfico del cliente.

DNSSEC es un grupo de extensiones que se endurezca la infraestructura DNS. IETF RFC 4033, 4034 y 4035 se describen las extensiones necesarias para DNSSEC. Atributo más importante de DNSSEC es la capacidad para identificar su origen teniendo en cuenta la integridad de datos. DNSSEC introduce con estos tipos de registros: DNSKEY, RRSIG, DS, NSEC/NSEC3.

Windows Server 2008 R2 es compatible con DNSSEC, pero con una funcionalidad limitada. Proceso de generación de claves y el proceso de firma de la zona se llevó a cabo sólo por la línea de comandos. Server 2008 R2 requiere que la zona está fuera de línea durante el proceso de firma de la zona. No hay apoyo para la renovación automática de claves y las actualizaciones dinámicas no son compatibles. Por último, RSA/SHA-2 y NSEC3 algoritmos no son compatibles.

 Windows Server 2012 admite para DNSSEC y corrige todos los abajo se cae en la implementación de DNSSEC de Server 2008 R2. Windows Server 2012 ahora es compatible con la zona de firma en línea. Las actualizaciones dinámicas se pueden habilitar para DNSSEC firmados zonas con Active Directory. NSE3 y RSA/SHA2 algoritmos son ahora soportados y la automatización de la confianza de anclaje de vuelco. En cuanto a la gestión, Windows Server 2012, cmdlets de PowerShell Inlcuye para DNSSEC. Barrido opción de registro de rancio se incluye para purgar viejos registros DNSSEC también. Las actualizaciones dinámicas para la zona de DNSSEC en Windows Server 2012 se puede activar en el servidor DNS, siempre y cuando la máquina del servidor de la autoridad para esa zona. Windows Server 2012 del servidor DNS se encarga de la creación automática de la firma de actualización de DNS y adiciones de registros para la zona. El servidor también se actualiza automáticamente antes de expirar la firma por no perder de vista el tiempo de expiración de la firma.
DNSSEC Key Master ( KM )
En la infraestructura de DNSSEC, la clave maestra-servidor primario debe servir la gestión de claves y el servicio de generación de claves para el medio ambiente. Master Key es responsable de la distribución de claves privadas, KSK, zona de la firma de vuelcos clave y firma la zona para una zona específica. También asegúrese de que las zonas infantiles y de las delegaciones firmados son sincronizados y actualizados. Master Key se puede configurar en cualquier servidor DNS autorizado anfitrión de la copia de la zona primaria. Mientras que el servidor aloja la zona principal, que el servidor puede ser designada como la clave maestra para múltiples zonas. Como se describió anteriormente, Master Key se especifica para cada zona y no es una configuración global / atributo. Master Key se configura automáticamente cuando se crea la Zona de DNSSEC.
DNSSEC keys lifetime
Como parte del diseño de DNSSEC, se requiere que las claves DNSEEC se sustituirán según el tiempo configurado. Este es el diseño de teclas que lo comprometido por los hackers no pueden ser utilizados siempre. El proceso de revisión de las llaves en DNSSEC se llama renovar la clave. Windows Server 2012 permite a los traspasos automáticos de claves al contrario que en Windows Server 2008 R2. Windows Server 2012 soporta KSK y ZSK vuelcos automáticos.
Para configurar la DNSSEC en una zona, simplemente haga clic derecho en la Zona> DNSSEC> Firma de la Zona

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: