آموزش فعال‌سازی DNSSEC در سرور — امنیت DNS - مرکز آموزش و اخبار میهن هاستینگ

DNSSEC چیست؟

DNSSEC (DNS Security Extensions) لایه امنیتی اضافی برای DNS است که از جعل و دستکاری پاسخ‌های DNS (DNS Spoofing/Poisoning) جلوگیری می‌کند. DNSSEC با امضای دیجیتال رکوردهای DNS، صحت آن‌ها را تأیید می‌کند.

چرا DNSSEC مهم است؟

بدون DNSSEC، مهاجم می‌تواند پاسخ DNS را جعل و کاربران را به سایت جعلی هدایت کند (DNS Poisoning). DNSSEC اطمینان می‌دهد پاسخ DNS از سرور اصلی آمده و تغییر نکرده.

فعال‌سازی در BIND

تولید کلیدها

dnssec-keygen -a RSASHA256 -b 2048 -n ZONE domain.com
dnssec-keygen -a RSASHA256 -b 4096 -n ZONE -f KSK domain.com

امضای Zone

dnssec-signzone -A -N INCREMENT -o domain.com -t domain.com.zone

تنظیم named.conf

zone "domain.com" {
    type master;
    file "domain.com.zone.signed";
    key-directory "/var/named/keys";
    auto-dnssec maintain;
    inline-signing yes;
};

فعال‌سازی در دایرکت ادمین

دایرکت ادمین از DNSSEC پشتیبانی می‌کند. از Admin Level > DNS Administration قابل فعال‌سازی است.

ثبت DS Record

پس از فعال‌سازی، DS Record باید در رجیسترار دامنه ثبت شود. DS Record اعتبار کلید DNSSEC را تأیید می‌کند.

بررسی

dig +dnssec domain.com
dig +short domain.com DS

یا از dnsviz.net بررسی کنید.

نکته مهم

DNSSEC پیچیدگی مدیریت DNS را افزایش می‌دهد. کلیدها باید دوره‌ای تمدید شوند. تنظیم اشتباه باعث از کار افتادن DNS می‌شود.

کانفیگ سرور شامل فعال‌سازی DNSSEC و امنیت DNS. سرور مجازی با DNS سرور اختصاصی.

🛡️ امنیت DNS

DNSSEC و hardening DNS حرفه‌ای.

سفارش کانفیگ سرور ←