DNS-аутентификация именных объектов (DANE) – отличная функция, которая использует преимущества подписанной зоны DNSSEC, чтобы сообщить клиенту, какой сертификат TLS он должен ожидать при подключении к безопасному адресату через HTTPS или SMTPS. Через безопасный канал (DNSSEC) клиент может запросить открытый ключ сервера. Это означает, что атака «Человек-в-середине» (MITM) с поддельным сертификатом будет выставлена напрямую, т. е. больше невозможно. Кроме того, доверие к органам сертификации (ЦС) больше не требуется. Читать
Архив метки: DNS
Настройка DNS сервера с FQDN-доменом и внешним статическим ip адресом
Сегодня настроим DNS сервер с FQDN-доменым именем и внешним статическим ip адресом. В качестве DNS сервера будет выступать bind9 и операционная система Ubuntu Server 16.04. Так же разберем настройку двух зон: зона прямого и зона обратного просмотра.
DNS – это система доменных имен для преобразования имени в ip адреса компьютера и наоборот. Зная имя компьютера, вам не нужно запоминать его ip адрес. Простыми словами набирая адрес интернет странички в Вашем браузере DNS сервер всемирной паутины преобразует его в ip-адрес хостинга на котором расположен данный домен. Читать
Настройка DNSSEC на Ubuntu Server + Bind9
Технология DNS в нынешнем виде была разработана более 20 лет назад, когда о защите информации мало кто задумывался. Поэтому в сегодняшним состоянии система DNS имеет несколько ключевых уязвимостей.
Достоверность ответа DNS-сервера никак не проверяется. Это позволяет отправить пользователя, обратившегося к доменному имени, на произвольный IP-адрес, подменив ответ сервера. Читать
Закрытие широковещательных запросов
Серверы WINS давным-давно не используются, а из последних серверов Windows уже выпилены.
Как клиент Windows тем не менее использует разрешение имен NetBIOS в случае чего (после просмотра файла hosts и DNS-запроса). Читать
Вносим CAA запись в DNS (bind9)
Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации. Читать
Публичные адреса DNS.
Порой бывает так, что провайдер не предоставляет адреса DNS своих серверов, или по технической причине серверы не доступны.
Тут и возникает потребность использовать публичные адреса DNS. Таких DNS адресов достаточно на просторах сети интернет. Многие сервисы, предоставляют удобную веб-панель с красиво разрисованной статистикой и упорядоченной информацией.
Ниже я приведу список некоторых из них: Читать