Как настроить безопасность DNSSEC и DNS

Система доменных имен (DNS) преобразует понятные людям доменные имена (например, google.ru) в IP-адреса, которые может считывать компьютер (например, 172.217.3.206). Чтобы предотвратить угрозы безопасности вашего домена, например повреждения кеша или спуфинг DNS, вы можете настроить набор расширений протокола DNS (DNSSEC).

Как включить DNSSEC для домена

Важно!

  • В некоторых доменах верхнего уровня (TLD) допускается использовать записи открытого ключа DNS (DNSKEY) вместо записей DS.
  • Если вы изначально приобрели доменное имя через Google Domains, набор DNSSEC может уже быть настроен.

Чтобы настроить DNSSEC для домена, необходимо добавить определенные записи ресурсов в DNS или подписанную зону и опубликовать их в домене. Если вы включили автоматическую настройку DNSSEC для Google Domains, мы выполним эти действия от вашего имени. Изменения будут применены в течение 24 часов, после чего DNSSEC активируется.

  1. Войдите в аккаунт Google Domains.
  2. Выберите домен.
  3. В левом верхнем углу нажмите на значок меню "" затем DNS.
  4. Выберите Стандартные DNS-серверы или Сторонние DNS-серверы.
  5. Прокрутите страницу до карточки или поля DNSSEC.
    • Для стандартных DNS-серверов: нажмите Включить. Если набор DNSSEC уже активен, вы увидите на карточке информацию об этом.
    • Для сторонних DNS-серверов: нажмите Управление DS-записями и введите данные, полученные от поставщика услуг DNS.
      1. Введите значения DNSSEC или DNSKEY стороннего DNS-сервера, предоставленные сторонним поставщиком услуг DNS.
      2. Чтобы добавить сразу несколько записей, нажмите Создать запись.
      3. Нажмите Сохранить.

Примечания

  • Если вы не хотите ждать, разверните карточку DNSSEC и нажмите Опубликовать записи. Тогда записи DNSKEY будут опубликованы сразу.
  • Когда вы включите DNSSEC, зона DNS будет подписана автоматически, а DS-записи опубликованы в течение двух часов.
Какие значения нужны для DNSSEC стороннего DNS-сервера

Если вы используете сторонние DNS-серверы, то подписать DNS-зону для домена нужно с помощью вашего поставщика услуг DNS. Узнайте у него следующие значения для каждой записи DNSKEY:

  • Тег ключа. Числовое значение, которое связано с существующей записью DNSKEY.
  • Алгоритм. Алгоритм шифрования, на основе которого создан ключ безопасности в записи DNSKEY. Обычно он используется в паре с хеш-функцией, такой как RSA/SHA1.
  • Тип дайджеста. Алгоритм, на основе которого создан дайджест записи DNSKEY. Другие названия: алгоритм генерации дайджеста, хеш дайджеста, хеш-функция дайджеста.
  • Дайджест. Хешированное значение записи DNSKEY, которое позволяет идентифицировать ее, не раскрывая значения ключа. В зависимости от типа дайджеста возможны следующие варианты:
    • SHA1 – 40 шестнадцатеричных цифр;
    • SHA256 – 64 шестнадцатеричных цифры;
    • SHA384 – 96 шестнадцатеричных цифр.
Какие значения нужны для DNSKEY стороннего DNS-сервера

Если вы используете сторонние DNS-серверы, то подписать DNS-зону для домена нужно с помощью вашего поставщика услуг DNS. Узнайте у него следующие значения для каждой записи DNSKEY:

  • Флаги. Информация, которая позволяет DNS и преобразователям расшифровывать запись DNSKEY. По умолчанию задано значение 256 или 257.
  • Протокол. Версия DNSSEC. По умолчанию всегда задано значение 3.
  • Алгоритм. Тип криптографического алгоритма, который используется для пары открытого и закрытого ключей.
  • Открытый ключ. Ключ, с помощью которого преобразователи DNS проверяют, подлинны ли записи DNS.

Как отключить DNSSEC для домена

  1. Войдите в аккаунт Google Domains.
  2. Выберите домен.
  3. Нажмите на значок меню "" затем DNS.
  4. Прокрутите страницу до карточки или поля DNSSEC.
    • Для стандартных DNS-серверов: выберите Отключить.
    • Для сторонних DNS-серверов: нажмите "Удалить" рядом с записями.
  5. Нажмите Сохранить.

Примечания

  • Для сторонних DNS-серверов: чтобы удалить из вашей зоны записи ресурсов, связанные с DNSSEC, обратитесь к поставщику услуг DNS.
  • Когда вы отключите DNSSEC, публикация DS-записей будет отменена. Когда изменение полностью вступит в силу, ваш домен утратит защиту DNSSEC. Это может занять до 48 часов. Чтобы завершить отключение DNSSEC, сервис Google Domains может отменить подпись вашей зоны DNS.

Использование динамического DNS

Важно! Динамический DNS работает как с адресами IPv4, так и IPv6, но не с обеими версиями одновременно.

Динамический DNS позволяет направить трафик с домена или субдомена на ресурс, находящийся за шлюзом, с динамически назначаемым IP-адресом. Чтобы использовать динамический DNS, необходимы серверы доменных имен Google Domains по умолчанию.

Если вы настроите динамический DNS в Google Domains, то сможете:

  • Создать запись A или AAAA для вашего домена или субдомена, которая дает серверам доменных имен Google информацию о том, что ожидается динамический IP-адрес.
  • Создать имя пользователя и пароль, которые хост или сервер смогут использовать, чтобы передавать новый IP-адрес серверам доменных имен Google.

После настройки динамического DNS необходимо настроить клиентскую программу на хосте, сервере или на самом шлюзе. Эта программа выполняет следующие функции:

  • обнаруживает изменения IP-адреса;
  • использует созданные имя пользователя и пароль;
  • передает новый адрес на серверы доменных имен Google.

Как настроить динамический DNS

  1. Войдите в аккаунт Google Domains на компьютере.
  2. Выберите домен.
  3. Нажмите на значок меню "" затем DNS.
  4. Выберите Стандартные DNS-серверы Google Domains (активные).
  • Если у вас выбран вариант "Сторонние DNS-серверы (активные)", значит, у вас уже есть такие серверы и вы не можете использовать динамический DNS Google Domains.
  1. Нажмите Показать расширенные настройки.
  2. Выберите Управлять динамическим DNS затем Создать запись.
  3. Введите название корневого домена или субдомена, которому нужно назначить динамический IP-адрес.
  4. Нажмите Сохранить.

Вот ещё некоторые настройки, доступные для динамического DNS:

  • Чтобы посмотреть значения записи, нажмите на треугольник рядом с ней.
  • Чтобы узнать имя пользователя и пароль, созданные для записи, нажмите Посмотреть учетные данные.
  • Чтобы настроить шлюз или клиентскую программу для обращения к серверам доменных имен Google, используйте имя пользователя и пароль, созданные для записи.
  • Чтобы удалить запись, выполните следующие действия:
    1. Перейдите на карточку "Записи ресурсов".
    2. Нажмите на треугольник рядом с текстом "Динамический DNS".
    3. Нажмите Удалить.

Как настроить клиентскую программу на шлюзе, хосте или сервере

Существует несколько часто используемых клиентов динамического DNS, в том числе DDclient и INADYN. Кроме того, на большинстве маршрутизаторов установлено встроенное программное обеспечение, которое определяет изменения IP-адресов и сообщает их серверам доменных имен.

Задайте следующие настройки для клиента динамического DNS:

  • Поставщик (также "DNS" или "Служба"): название поставщика услуг DNS.
  • Имя пользователя (или учетные данные): имя пользователя из записи динамического DNS.
  • Пароль (или учетные данные): пароль из записи динамического DNS.

После создания записи и настройки клиентской программы ее необходимо протестировать. Для этого введите в браузер (или соответствующий клиент) субдомен или домен и проверьте, происходит ли подключение к нужному ресурсу.

Примечание. В Google Domains используется протокол dyndns2.

Примеры

DDclient теперь поддерживает Google Domains.

DDclient с поддержкой Google Domains

Записи ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Общие примеры настройки клиента:

DDclient
без поддержки Google Domains
INADYN

Пример записей ddclient.conf:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Добавьте следующие строки в запись inadyn.conf:

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Как изменить запись динамического DNS с помощью API

Клиентская программа динамического DNS автоматически обновляет запись динамического DNS. Также ее можно обновить вручную с помощью API. Для этого следует отправить запрос POST или GET по следующему адресу:
domains.google.com/nic/update
Для API требуется протокол HTTPS. Пример запроса:
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Как настроить агент пользователя

Важно! В запросе необходимо указать агент пользователя.

Обычно при тестировании с использованием URL domains.google.com/nic/update агент добавляется браузером. Окончательный запрос HTTP, отправленный на серверы Google, должен выглядеть примерно так, как показано ниже.

Пример запроса HTTP

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com

Параметры запроса

Параметр Обязательный/необязательный Описание
username:password Обязательный Имя пользователя и пароль, связанные с хостом, который необходимо обновить.
hostname Обязательный Имя обновляемого хоста.
myip
  • Необязательный при использовании адреса IPv4.
  • Обязательный при использовании адреса IPv6.
IP-адрес хоста. Если он не указан, будет использоваться IP-адрес агента, отправившего запрос.

Примечание. Параметр myip обязателен, если ваш агент использует адрес IPv6. IP-адрес агента можно проверить на сайте https://domains.google.com/checkip.

offline Необязательный Переводит используемый хост в офлайн-режим. Если запрос обновления выполняется на хосте в офлайн-режиме, этот хост переходит в онлайн-режим.
Допустимые значения:
  • да
  • нет

Ниже перечислены варианты ответов на запрос.

Примечание. Ответ необходимо правильно интерпретировать, иначе клиент может быть заблокирован.

Ответ Статус Описание
good {IP-адрес пользователя} Выполнено Обновление выполнено. Не пытайтесь выполнять обновление повторно пока IP-адрес не изменится.
nochg {IP-адрес пользователя} Выполнено Предоставленный IP-адрес уже задан для данного хоста. Не следует пытаться выполнить обновление ещё раз до изменения IP-адреса.
nohost Ошибка Имя хоста не существует, или не включен динамический DNS.
badauth Ошибка Неверная комбинация имени пользователя и пароля для заданного хоста.
notfqdn Ошибка Указанное имя хоста не является допустимым полностью определенным доменным именем.
badagent Ошибка Клиент динамического DNS отправляет неверные запросы. Проверьте, указан ли агент пользователя в запросе.
abuse Ошибка Доступ динамического DNS для получения имени хоста был заблокирован из-за неправильной интерпретации предыдущих ответов.
911 Ошибка Ошибка на сервере Google. Подождите пять минут и повторите попытку.
conflict A
conflict AAAA
Ошибка Пользовательские записи ресурсов A или AAAA могут конфликтовать с обновлением. Такой ресурс необходимо удалить со страницы настроек DNS, а затем снова выполнить обновление.
Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
true
true
true
93020
false
false