Система доменних імен (DNS) перетворює зрозумілі для користувачів доменні імена (зокрема, google.com) в IP-адреси веб-сайтів, доступні для машинного зчитування (наприклад, 172.217.3.206). Щоб захистити домен від загроз, зокрема спуфінгу DNS і атак із метою підміни кешу, налаштуйте модулі безпеки DNS.
Як увімкнути для домену модулі безпеки DNS
Важливо
- Деякі домени верхнього рівня (TLD) приймають записи відкритого ключа DNS (DNSKEY) замість записів DS.
- Якщо ви придбали доменне ім’я в Google Domains, модулі безпеки DNS може бути вже налаштовано.
- Якщо у вашому домені є запис ALIAS, модулі безпеки DNS не можна ввімкнути. Докладніше про записи ALIAS.
Щоб налаштувати модулі безпеки DNS для свого домену, додайте певні ресурсні записи в систему DNS або підписану зону й опублікуйте їх для домену. Якщо вибрати автоматичне налаштування модулів безпеки DNS у Google Domains, ми виконаємо обидва кроки за вас. Протягом 24 годин зміни почнуть діяти в Інтернеті, і модулі безпеки DNS буде активовано.
- Увійдіть у Google Domains.
- Виберіть свій домен.
- Угорі ліворуч натисніть значок DNS.
- Виберіть Сервери імен за умовчанням або Сторонні сервери імен.
- Прокрутіть сторінку вниз до картки або поля "Модулі безпеки DNS".
- Для серверів імен за умовчанням: натисніть Увімкнути. Якщо модулі безпеки DNS уже ввімкнено, ви побачите відповідну інформацію.
- Для сторонніх серверів імен: натисніть Керувати записами DS і введіть інформацію від свого постачальника послуг DNS.
- Введіть для модулів безпеки DNS стороннього сервера імен або для DNSKEY значення, надані вашим стороннім постачальником послуг DNS.
- Щоб додати кілька записів одночасно, натисніть Створити новий запис.
- Натисніть Зберегти.
Підказки
- Якщо ви не хочете чекати, доки ваші записи DNSKEY буде опубліковано, у розділі "Модулі безпеки DNS" розгорніть картку модулів і натисніть Опублікувати записи.
- Коли ви вмикаєте модулі безпеки DNS, Google Domains автоматично додає підписи для DNS-зони й публікує записи Delegation Signer (DS) протягом 2 годин.
Якщо ви використовуєте сторонні сервери імен, додайте підписи для DNS-зон через стороннього постачальника послуг DNS. Для кожного запису DNSKEY отримайте у свого постачальника послуг DNS наведені нижче значення.
- Тег ключа – числове значення, яке посилається на наявний запис DNSKEY.
- Алгоритм – алгоритм шифрування, на основі якого створюється ключ безпеки в записі DNSKEY (зазвичай поєднується з хеш-функцією, як у RSA/SHA1).
- Тип дайджесту – алгоритм, на основі якого створюється дайджест запису DNSKEY (його ще називають "алгоритм дайджесту", "хеш дайджесту" або "хеш-функція дайджесту").
- Дайджест – значення хеш-функції запису DNSKEY, яке дає змогу ідентифікувати його, але не розкриває значення самого ключа. Залежно від типу довжина дайджесту становить:
- SHA1 – 40 шістнадцяткових цифр;
- SHA256 – 64 шістнадцяткові цифри;
- SHA384 – 96 шістнадцяткових цифр.
Якщо ви використовуєте сторонні сервери імен, зверніться до зовнішнього постачальника послуг DNS, щоб увійти в DNS-зони для вашого домену. Для кожного запису DNSKEY отримайте у свого постачальника послуг DNS наведені нижче значення.
- Прапори. Інформація, за допомогою якої система DNS і резолвери можуть інтерпретувати запис DNSKEY. За умовчанням указано значення 256 або 257.
- Протокол. Указує, яка версія модулів безпеки DNS використовується. За умовчанням завжди вказано значення 3.
- Алгоритм. Указує на тип криптографічного алгоритму, що використовується для пари відкритих/секретних ключів.
- Відкритий ключ. Ключ, за допомогою якого резолвери DNS перевіряють, чи не було змінено записи DNS.
Як деактивувати модулі безпеки DNS для свого домену
- Увійдіть у Google Domains.
- Виберіть свій домен.
- Натисніть значок DNS.
- Прокрутіть сторінку вниз до картки або поля "Модулі безпеки DNS".
- Для серверів імен за умовчанням: виберіть Вимкнути.
- Для сторонніх серверів імен: біля кожного запису натисніть значок видалення .
- Виберіть Зберегти.
Підказки
- Для сторонніх серверів імен: щоб вилучити із зони ресурсні записи, пов’язані з модулями безпеки DNS, можна зв’язатися з постачальником послуг DNS.
- Коли ви вимкнете модулі безпеки DNS, Google Domains одразу скасує публікацію записів DS вашого домену. Коли ця зміна застосується до всього Інтернету, ваш домен більше не буде під захистом модулів безпеки DNS. На це може знадобитися до 48 годин. Щоб завершити деактивацію модулів безпеки DNS, Google Domains може вилучити підписи вашої DNS-зони.
Як використовувати динамічну DNS
Важливо. Динамічна DNS підтримує адреси IPv4 та IPv6, але не одночасно.
Динамічна DNS дає змогу спрямовувати домен або субдомен на ресурс поза шлюзом, який має динамічну IP-адресу. Щоб використовувати динамічну DNS, у вас мають бути сервери імен Google Domains за умовчанням.
Налаштувавши динамічну DNS у Google Domains, ви можете:
- створити запис A чи AAAA для свого домену або субдомену, який попереджає сервери імен Google про використання динамічної IP-адреси;
- згенерувати ім’я користувача й пароль, які ваш хост або сервер застосовуватиме, щоб надіслати нову IP-адресу на сервери імен Google.
Завершивши з динамічною DNS, потрібно налаштувати клієнтську програму на хості, сервері або шлюзі, яка:
- виявляє зміни ІР-адреси;
- застосовує згенеровані ім’я користувача та пароль;
- надсилає нову IP-адресу на сервери імен Google.
Як налаштувати динамічну DNS
- На комп’ютері ввійдіть у Google Domains.
- Виберіть свій домен.
- Натисніть значок меню DNS.
- Виберіть Сервери імен Google Domains за умовчанням (активна конфігурація).
- Якщо вибрано параметр "Сторонні сервери імен (активна конфігурація)", це означає, що ви вже використовуєте сторонні сервери імен і не можете налаштувати динамічну DNS від Google Domains.
- Натисніть Показати розширені налаштування.
- Натисніть Керувати динамічною DNS Створити новий запис.
- Щоб призначити динамічну IP-адресу, введіть ім’я субдомену або кореневого домену.
- Натисніть Зберегти.
Нижче наведено інші способи керування динамічною DNS.
- Щоб переглянути значення запису, натисніть поруч із ним значок трикутника.
- Щоб переглянути ім’я користувача й пароль, створені для цього запису, натисніть Переглянути облікові дані.
- Щоб налаштувати шлюз або клієнтську програму для зв’язку із серверами імен Google, використовуйте ім’я користувача та пароль, створені для цього запису.
- Щоб видалити запис:
- Перейдіть у розділ "Ресурсні записи".
- Біля параметра "Динамічна DNS" натисніть трикутник.
- Виберіть Видалити.
Як налаштувати клієнтську програму на шлюзі, хості або сервері
Існує кілька популярних клієнтських програм для динамічних DNS, наприклад DDclient і INADYN. Більшість маршрутизаторів можуть виявляти зміни IP-адрес і надсилати їх на сервери імен за допомогою вбудованого програмного забезпечення.
Налаштуйте свою клієнтську програму для динамічної DNS, указавши наведені нижче параметри.
- Постачальник / DNS / Сервіс: ім’я постачальника послуг DNS.
- Ім’я користувача / Облікові дані: ім’я користувача, згенероване в записі "Динамічна DNS".
- Пароль / Облікові дані: пароль, згенерований у записі "Динамічна DNS".
Створивши запис і налаштувавши програмне забезпечення клієнта, протестуйте запис. Для цього введіть субдомен і домен у веб-переглядачі (або відповідній клієнтській програмі) та перевірте, чи підключаються вони до потрібного ресурсу.
Підказка. У Google Domains використовується протокол dyndns2.
Приклади
Тепер DDclient підтримується в Google Domains.
DDclient із підтримкою Google Domains |
Значення ddclient.conf:
|
Загальні приклади конфігурації клієнта:
DDclient без підтримки Google Domains |
INADYN |
Приклади значень ddclient.conf:
|
Додайте ці значення в inadyn.conf:
|
Як оновити запис "Динамічна DNS" за допомогою API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Як налаштувати агент користувача
Важливо. У запиті також потрібно вказувати агент користувача.
Під час тестування за допомогою наведеної вище URL-адреси (domains.google.com/nic/update
) веб-переглядачі, як правило, додають агент користувача. Нижче наведено приклад кінцевого запиту HTTP, який надсилається на наші сервери.
Приклад HTTP-запиту:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Параметри запиту
Параметр | Обов’язковий або необов’язковий | Опис |
username:password |
Обов’язковий | Згенеровані ім’я користувача й пароль, зв’язані з хостом, який потрібно оновити. |
hostname |
Обов’язковий | Ім’я хосту, який потрібно оновити. |
myip |
|
IP-адреса хосту. Якщо її не вказати, буде використовуватись IP-адреса агента, який надіслав запит.
Важливо. Параметр |
offline |
Необов’язковий | Переводить поточний хост у режим офлайн. Якщо запит на оновлення виконується на офлайн-хості, цей хост перейде в режим онлайн. Допускаються такі значення:
|
Нижче наведено варіанти відповіді, яка повертається після обробки запиту.
Важливо. Щоб наша система не заблокувала вашу клієнтську програму, ви маєте правильно інтерпретувати відповідь.
Відповідь | Статус | Опис |
good {ІР-адреса користувача} |
Виконано | Оновлення здійснено. Не потрібно надсилати запит на нове оновлення, доки IP-адреса не зміниться. |
nochg {ІР-адреса користувача} |
Виконано | Надану IP-адресу вже налаштовано для цього хосту. Не потрібно надсилати запит на нове оновлення, доки IP-адреса не зміниться. |
nohost |
Помилка | Ім’я хосту не існує або запис "Динамічна DNS" вимкнено. |
badauth |
Помилка | Недійсна комбінація імені користувача та пароля для вказаного хосту. |
notfqdn |
Помилка | Указане ім’я хосту – недійсне повне ім’я домену. |
badagent |
Помилка | Клієнтська програма для динамічної DNS створює неправильні запити. Переконайтеся, що агент користувача вказано в запиті. |
abuse |
Помилка | Доступ до динамічної системи DNS для цього імені хосту заблоковано через неправильну інтерпретацію попередніх відповідей. |
911 |
Помилка | Помилка з нашого боку. Зачекайте 5 хвилин і спробуйте знову. |
conflict A |
Помилка | Власний ресурсний запис A або AAAA суперечить оновленню. Видаліть указаний ресурсний запис на сторінці налаштувань DNS і спробуйте знову здійснити оновлення. |