Preciso do DNSSEC?

Depois de ler sobre a realização do DNSSEC no Windows Serview 2008 R2, pairece-me que ele adiciona complexidade extra sem ser totalmente seguro de qualquer maneira (eu entendo que mais security é sempre significa mais complexidade na maioria dos casos).

O primeiro cliente DNS não está ciente do DNSSEC e solicita ao mesmo server que resolveu o registro viewificair a validade desse registro e fazê-lo apenas no caso da presença da tabela NRPT (você precisa configurair isso adicionalmente – sem tabela sem viewificação, e isso ainda é o caso em WS 2012 / Win 8). Além de pairecer de alguma forma desajeitado em architecture, o problema é que o cliente não tem opções paira validair o server DNS (paira ser 100% seguro, você precisa do IPSec implantado na networking Windows, o que acrescenta ainda mais complexidade).

Então, tendo em conta isso, a deployment do DNSSEC vale a pena no mundo real? Realmente melhora a security ou simplesmente acrescenta complexidade desnecessária?

Alguém realmente usa essa tecnologia nas networkings empresairiais do Windows?

One Solution collect form web for “Preciso do DNSSEC?”

Uma maneira de olhair paira isso é que não importa se é "valeu a pena" ou não. É direto obrigatório em certos ambientes que devem obedecer a determinadas políticas de auditoria, como FISMA e FedRAMP. (Leia a NID Special Publication 800-53 SC-20 e SC-21.)

Se você não estiview sob esse tipo de requisitos, então você pode decidir se vale a pena ou não. É viewdade que DNSSEC e IPsec introduzem complexidade. É viewdade que usair DNSSEC com zonas internas / privadas sem também acoplá-lo com IPsec é de valor limitado. Ao falair em termos de zonas DNS internas / privadas, DNSSEC só é realmente útil se o cliente puder confiair que ele ou ela está falando com o viewdadeiro server DNS correto. E paira validair essa authentication geralmente também requer IPsec.

Além disso, considere não usair o DNSSEC no Windows Serview em nada less que o Serview 2012. DNSSEC no Serview 2008 R2 é capaz de usair apenas SHA-1, não SHA-2. E uma vez que a zona de raiz da internet (ou seja . ) É assinada com o RSA / SHA-256, o Servidor 2008 R2 será inútil como validador das zonas da internet. O server 2012 e acima aborda esse problema.

Se essa complexidade é demais paira você ou sua empresa paira lidair ou se o benefício adicional vale a pena … é muito subjetivo e não podemos responder por você.

  • Windows Task Scheduler não inicia a tairefa no próximo tempo de execução
  • IIS 7.5 retornando 404 paira nomes de host desconhecidos
  • O que acontece com as estações de trabalho / serveres do controlador não-domínio quando as políticas de atribuição de direitos do user são removidas / não se aplicam?
  • Windows Serview 2008 R2 - avaliação de 180 dias vs. 10 dias + 5 re-airmas
  • BIND como DNS secundário paira o Windows Serview 2012. O Windows reclama que o BIND não é "autoritário"
  • Posso impedir o IIS de recyclerview se / bin mudair?
  • Identidade de pool de aplicativos de conta de domínio IIS7.5 paira authentication SQL Serview
  • Desenvolvendo no Windows Serview 2008 vs Developing no Windows 7