DNS-järjestelmä kääntää ihmisten luettavissa olevat verkkotunnukset (google.com) koneen luettaviksi verkkosivustojen IP-osoitteiksi (172.217.3.206). Voit ehkäistä välimuistihyökkäysten ja DNS-huijausten kaltaisia uhkia verkkotunnuksessa ottamalla käyttöön DNS Security Extensions (DNSSEC) ‑suojauksen.
DNSSEC:n käyttöönotto verkkotunnuksessa
Tärkeää:
- Jotkin ylätason verkkotunnukset (TLD) hyväksyvät DNSKEY‐tietueet DS‐tietueiden sijaan.
- Jos olet ostanut verkkotunnuksesi alun perin Google Domainsilta, DNSSEC saattaa olla jo käytössä.
- Jos verkkotunnuksellasi on ALIAS-tietue, et voi ottaa DNSSEC:tä käyttöön. Lue lisää ALIAS-tietueista.
Jos haluat ottaa DNSSEC:n käyttöön verkkotunnuksessa, sinun pitää lisätä tietyt resurssitietueet DNS-asetuksiin tai kirjautumisvyöhykkeelle ja julkaista ne verkkotunnuksessa. Jos käytät Google Domainsin automaattista DNSSEC-asetusta, molemmat vaiheet tehdään puolestasi. Muutosten voimaantuloon kaikkialla internetissä voi mennä 24 tuntia. Vasta tämän jälkeen DNSSEC on täysin käytössä.
- Kirjaudu Google Domainsiin.
- Valitse verkkotunnuksesi.
- Valitse vasemmasta yläkulmasta Menu (Valikko) DNS.
- Valitse joko Default name servers (Oletusnimipalvelimet) tai Custom name servers (Omat nimipalvelimet).
- Vieritä DNSSEC-korttiin tai ‑kenttään.
- Oletusnimipalvelimet: Klikkaa Turn on (Laita päälle). Jos DNSSEC on jo käytössä, näet tekstin "DNSSEC enabled" (DNSSEC päällä).
- Omat nimipalvelimet: Klikkaa Manage DS records (Hallinnoi DS-tietueita) ja lisää DNS-tarjoajan ilmoittamat tiedot.
- Lisää kolmannen osapuolen DNS-tarjoajalta saamasi arvot oman nimipalvelimen kenttiin DNSSEC tai DNSKEY.
- Jos haluat lisätä useita tietueita samaan aikaan, valitse Create new record (Luo uusi tietue).
- Klikkaa Save (Tallenna).
Vinkkejä:
- Jos et halua odottaa DNSKEY-tietueiden julkaisemista, laajenna DNSSEC-kortti kohdasta "DNSSEC" ja klikkaa Publish records now (Julkaise tietueet nyt).
- Kun laitat DNSSEC:n päälle, Google Domains allekirjoittaa automaattisesti DNS-vyöhykkeesi ja julkaisee Delegation Signer (DS) ‑tietueet kahden tunnin kuluessa.
Jos käytät omia nimipalvelimia, sinun on tehtävä yhteistyötä kolmannen osapuolen DNS-tarjoajan kanssa allekirjoittaaksesi verkkotunnuksesi DNS-vyöhykkeen. Hanki jokaista DNSKEY-tietuetta varten seuraavat arvot DNS-tarjoajalta:
- Avaintagi: Numeroarvo, joka viittaa olemassa olevaan DNSKEY-tietueeseen.
- Algoritmi: Salausalgoritmi, jolla DNSKEY-tietueen suojausavain luodaan. Yleensä se on yhdistetty tiivistefunktion kanssa RSA/SHA1:n tapaan.
- Tiivistetyyppi: Algoritmi, joka luo DNSKEY-tietueen tiivisteen. Se tunnetaan myös tiivistealgoritmina tai ‑funktiona.
- Tiiviste: DNSKEY-tietueen hajautusarvo, jolla tietue tunnistetaan paljastamatta avaimen arvoa. Pituus vaihtelee tiivistetyypin mukaan seuraavasti:
- SHA1: 40 heksadesimaalinumeroa
- SHA256: 64 heksadesimaalinumeroa
- SHA384: 96 heksadesimaalinumeroa
Jos käytät omia nimipalvelimia, ota yhteyttä kolmannen osapuolen DNS-tarjoajaan kirjautuaksesi verkkotunnuksesi DNS-vyöhykkeisiin. Hanki jokaista DNSKEY-tietuetta varten seuraavat arvot DNS-tarjoajalta:
- Merkinnät: Tiedot, joiden avulla DNS ja ratkaisijat tulkitsevat DNSKEY-tietueita. Oletusarvo on 256 tai 257.
- Protokolla: Osoittaa käytössä olevan DNSSEC-version. Arvo on aina 3.
- Algoritmi: Osoittaa julkisessa/yksityisessä avainparissa käytetyn salatun algoritmin.
- Julkinen avain: Avain, jonka avulla DNS-ratkaisijat vahvistavat, että DNS-tietueita ei ole peukaloitu.
Poista DNSSEC käytöstä verkkotunnukseltasi
- Kirjaudu Google Domainsiin.
- Valitse verkkotunnuksesi.
- Valitse Menu (Valikko) DNS.
- Vieritä DNSSEC-korttiin tai ‑kenttään.
- Oletusnimipalvelimet: Valitse Turn off (Ota pois päältä).
- Omat nimipalvelimet: Klikkaa kunkin tietueen vierestä Delete (Poista) .
- Valitse Save (Tallenna).
Vinkkejä:
- Jos käytät omia nimipalvelimia ja haluat poistaa DNSSEC:hen liittyviä resurssitietueita vyöhykkeeltäsi, tee yhteistyötä DNS-tarjoajasi kanssa.
- Kun otat DNSSECin pois käytöstä, Google Domains peruu verkkotunnustesi DS-tietueiden julkaisun välittömästi. Kun muutos on päivittynyt internetiin, DNSSEC ei enää suojaa verkkotunnustasi. Tämä voi kestää 48 tuntia. Google Domains saattaa poistaa DNS-vyöhykkeesi allekirjoituksen viedäkseen DNSSEC:n käytöstä poistamisen loppuun.
Dynaamisen DNS:n käyttäminen
Tärkeää: Dynaaminen DNS tukee sekä IPv4- että IPv6-osoitteita, mutta ei yhtä aikaa.
Dynaamisen DNS:n avulla voit ohjata verkkotunnuksesi tai aliverkkotunnuksesi sellaisen yhdyskäytävän päässä olevaan resurssiin, jolla on dynaaminen IP-osoite. Dynaamisen DNS:n käyttö edellyttää Google Domainsin oletusnimipalvelimien käyttöä.
Jos otat dynaamisen DNS:n käyttöön Google Domainsin kautta, voit
- luoda verkkotunnuksellesi tai aliverkkotunnuksellesi A- tai AAAA-tietueen, jonka ansiosta Googlen nimipalvelimet osaavat odottaa dynaamista IP-osoitetta
- luoda käyttäjätunnuksen ja salasanan, jonka avulla isäntä tai palvelin kertoo uuden IP-osoitteen Googlen nimipalvelimille.
Kun olet määrittänyt dynaamisen DNS:n, sinun on perustettava isännälle, palvelimelle tai yhdyskäytävälle asiakasohjelma, joka
- havaitsee IP-osoitteen muutokset
- käyttää luotua käyttäjätunnusta ja salasanaa
- kertoo uuden osoitteen Googlen nimipalvelimille.
Dynaamisen DNS:n määrittäminen
- Kirjaudu tietokoneella Google Domainsiin.
- Valitse verkkotunnuksesi.
- Klikkaa Menu (Valikko) DNS.
- Valitse Default name servers Google Domains (Active) (Oletusnimipalvelimet Google Domainsissa (Aktiivinen)).
- Jos "Custom name servers (Active)" (Omat nimipalvelimet (Aktiivinen)) on valittu, sinulla on jo oma nimipalvelin etkä voi käyttää Google Domainsin dynaamista DNS-palvelua.
- Klikkaa Näytä lisäasetukset.
- Klikkaa Manage dynamic DNS (Hallinnoi dynaamista DNS:ää) Create new record (Luo uusi tietue).
- Määritä dynaaminen IP-osoite kirjoittamalla aliverkkotunnuksen tai pääverkkotunnuksen nimi.
- Klikkaa Save (Tallenna).
Dynaamisen DNS:n hallinnointiin on muitakin vaihtoehtoja:
- Tietueen arvojen katsominen: Klikkaa tietueen vierestä kolmiota.
- Tietueelle luodun käyttäjätunnuksen ja salasanan tarkastelu: Klikkaa View Credentials (Näytä kirjautumistiedot).
- Yhdyskäytävän tai asiakasohjelman määrittäminen ottamaan yhteyttä Googlen nimipalvelimiin: Käytä tietueelle luotua käyttäjätunnusta ja salasanaa.
- Näin voit poistaa tietueen:
- Siirry kohtaan "Resource records" (Resurssitietueet).
- Klikkaa kolmiota kohdan "Dynamic DNS" (Dynaaminen DNS) vierestä.
- Valitse Poista.
Asiakasohjelman määrittäminen yhdyskäytävälle, isännälle tai palvelimelle
Käytettävissä on useita suosittuja dynaamisen DNS:n asiakasohjelmia, kuten DDclient ja INADYN. Useimmat reitittimet havaitsevat IP-osoitteen muutokset ja välittävät ne nimipalvelimille sisäänrakennetun ohjelmiston kautta.
Määritä dynaamisen DNS:n asiakasohjelma seuraavasti:
- Tarjoaja, DNS tai palvelu: DNS-tarjoajan nimi
- Käyttäjätunnus tai kirjautumistieto: Dynaamiseen DNS-tietueeseen luotu käyttäjätunnus
- Salasana tai kirjautumistieto: Dynaamiseen DNS-tietueeseen luotu salasana.
Kun olet luonut tietueen ja määrittänyt asiakasohjelman, testaa tietuetta. Kirjoita aliverkkotunnus ja verkkotunnus selaimeen tai sopivaan asiakasohjelmaan ja tarkista, että se yhdistää oikeaan resurssiin.
Vinkki: Google Domains käyttää dyndns2-protokollaa.
Esimerkkejä
DDclient tukee nyt Google Domainsia.
DDclient (Google Domains ‑tuki) |
ddclient.conf-määritelmät:
|
Yleisesimerkkejä asiakasohjelman määrityksistä:
DDclient ilman Google Domains ‑tukea |
INADYN |
ddclient.conf-esimerkkimäärityksiä:
|
Lisää inadyn.conf-tiedostoon seuraavat:
|
Dynaamisen DNS-tietueen päivittäminen APIn avulla
domains.google.com/nic/update
https://käyttäjätunnus:salasana@domains.google.com/nic/update?hostname=aliverkkotunnus.verkkotunnus.com&myip=1.2.3.4
Käyttäjäagentin lisääminen
Tärkeää: Pyyntöön on määritettävä myös käyttäjäagentti.
Yllä olevalla URL-osoitteella (domains.google.com/nic/update
) tehtävän testin aikana selaimet yleensä lisäävät käyttäjäagentin puolestasi. Googlen palvelimille lähetettävän lopullisen HTTP-kyselyn pitäisi näyttää suurin piirtein seuraavanlaiselta.
Esimerkki HTTP-pyynnöstä:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Pyynnön parametrit:
Parametri | Pakollinen tai valinnainen | Kuvaus |
username:password |
Pakollinen | Päivitettävälle isännälle luodut käyttäjätunnus ja salasana |
hostname |
Pakollinen | Päivitettävä isäntänimi |
myip |
|
IP-osoite, jolle isäntä on määritetty. Jos tätä tietoa ei ilmoiteta, käytetään pyynnön lähettäneen agentin IP-osoitetta.
Tärkeää: Jos agenttisi käyttää IPv6-osoitetta |
offline |
Valinnainen | Määrittää nykyiselle isännälle offline-tilan. Jos päivityspyyntö tehdään offline-isännällä, isäntä poistetaan offline-tilasta. Sallitut arvot:
|
Pyynnön käsittelyn jälkeen palautetaan yksi seuraavista vastauksista.
Tärkeää: Varmista, että tulkitset vastauksen oikein. Muuten Googlen järjestelmä saattaa estää asiakasohjelmasi.
Vastaus | Tila | Kuvaus |
good {käyttäjän IP-osoite} |
Onnistui | Päivitys onnistui. Älä yritä uutta päivitystä, ennen kuin IP-osoitteesi vaihtuu. |
nochg {käyttäjän IP-osoite} |
Onnistui | Tälle isännälle on jo määritetty kyseinen IP-osoite. Älä yritä uutta päivitystä, ennen kuin IP-osoitteesi vaihtuu. |
nohost |
Virhe | Isäntänimeä ei ole olemassa tai dynaaminen DNS ei ole sillä käytössä. |
badauth |
Virhe | Käyttäjätunnuksen ja salasanan yhdistelmä ei kelpaa määritetylle isännälle. |
notfqdn |
Virhe | Ilmoitettu isäntänimi ei ole kelvollinen verkkotunnuksen nimi. |
badagent |
Virhe | Dynaamisen DNS:n asiakasohjelmasi lähettää virheellisiä pyyntöjä. Varmista, että käyttäjäagentti on määritetty pyynnössä. |
abuse |
Virhe | Dynaamisen DNS:n pääsy isäntänimeen on estetty, koska aiempia vastauksia ei tulkittu oikein. |
911 |
Virhe | Googlen päässä tapahtui virhe. Odota 5 minuuttia ja yritä uudelleen. |
conflict A |
Virhe | Oma A- tai AAAA-resurssitietue on ristiriidassa päivityksen kanssa. Poista kyseinen resurssitietue DNS-asetussivulta ja yritä päivittää uudelleen. |