I-set up ang DNSSEC at seguridad ng DNS

Tina-translate ng Domain Name System (DNS) ang mga domain name na nababasa ng tao tulad ng google.com sa IP address ng isang website na nababasa ng machine, tulad ng 172.217.3.206. Para pigilan ang mga banta sa iyong domain tulad ng mga cache poison attack at panggagaya ng DNS, i-set up ang DNS Security Extensions (DNSSEC).

I-on ang DNSSEC para sa iyong domain

Mahalaga:

Tinatanggap ng ilang mga Top-level na Domain (Top-level Domain o TLD) ang mga DNS Public Key (DNSKEY) record sa halip na ang mga Delegation Signer (DS) record.
Kung orihinal mong binili ang iyong domain name mula sa Google Domains, posibleng naka-set up na ang DNSSEC para sa iyo.
Kung may record ng ALIAS ang iyong domain, hindi mo mae-enable ang DNSSEC. Matuto pa tungkol sa mga record ng ALIAS.

Para i-set up ang DNSSEC para sa iyong domain, dapat kang magdagdag ng mga partikular na resource record sa DNS o signing zone mo at i-publish ang mga ito para sa iyong domain. Kung gagamitin mo ang awtomatikong pag-set up ng DNSSEC ng Google Domains, kami na ang gagawa ng dalawang hakbang na ito para sa iyo. Posibleng abutin nang hanggang 24 na oras bago ma-update ang mga pagbabago sa buong internet bago maging aktibo ang DNSSEC.

Mag-sign in sa Google Domains.
Piliin ang iyong domain.
Sa kaliwang bahagi sa itaas, piliin ang Menu DNS.
Piliin ang Mga default na name server o Mga custom na name server.
Mag-scroll sa card o box na “DNSSEC.”
- Para sa mga default na name server: I-click ang I-on. Kung naka-on na ang DNSSEC, ipapakita ang “Naka-enable ang DNSSEC.”
- Para sa mga custom na name server: I-click ang Pamahalaan ang mga DS record at ilagay ang impormasyon mula sa iyong DNS provider.
  1. Ilagay ang mga value na ibinigay ng iyong third-party na DNS provider para sa DNSSEC o DNSKEY ng custom na name server.
  2. Para magdagdag ng maraming record nang sabay-sabay, i-click ang Gumawa ng bagong record.
  3. I-click ang I-save.

Mga Tip:

Kung pipiliin mong hindi maghintay na ma-publish ang iyong mga DNSKEY record, sa ilalim ng “DNSSEC,“ i-expand ang card ng DNSSEC at i-click ang I-publish na ang mga record ngayon.
Kapag na-on mo ang DNSSEC, awtomatikong isa-sign ng Google Domains ang iyong DNS zone at ipa-publish nito ang mga Delegation Signer (DS) record mo sa loob ng 2 oras.

Mga value na kinakailangan para sa DNSSEC ng custom na name server

Kung gumagamit ka ng mga custom na name server, dapat kang makipagtulungan sa iyong third-party na DNS provider para ma-sign ang DNS zone para sa domain mo. Para sa bawat DNSKEY, kunin ang mga sumusunod na value mula sa iyong DNS provider:

Key tag: Numeric value na tumutukoy sa isang kasalukuyang DNSKEY record.
Algorithm: Algorithm sa pag-encrypt na gumagawa ng security key sa DNSKEY record. Karaniwang ipinapares ito sa isang hash function gaya ng RSA/SHA1.
Uri ng digest: Algorithm na gumagawa sa digest ng isang DNSKEY record. Tinatawag din itong algorithm ng digest, hash ng digest, o hash function ng digest.
Digest: Na-hash na value ng DNSKEY record na nagbibigay ng natatanging pagkakakilanlan dito at hindi nag-e-expose sa value ng key. Batay sa uri ng digest, ang haba ay puwedeng maging isa sa mga sumusunod:
- SHA1: 40 hexadecimal digit
- SHA256: 64 na hexadecimal digit
- SHA384: 96 na hexadecimal digit

Mga value na kinakailangan para sa mga DNSKEY ng custom na name server

Kung gumagamit ka ng mga custom na name server, makipag-ugnayan sa iyong third-party na DNS provider para makapag-sign in sa mga DNS zone para sa domain mo. Para sa bawat DNSKEY, kunin ang mga sumusunod na value mula sa iyong DNS provider:

Mga Flag: Impormasyong ginagamit ng DNS at mga resolver para alamin kung paano i-interpret ang DNSKEY record. Bilang default, nakatakda sa 256 o 257 ang value na ito.
Protocol: Tinutukoy ang bersyon ng ginamit na DNSSEC. Palaging nakatakda sa 3 ang value na ito.
Algorithm: Tinutukoy ang uri ng cryptographic algorithm na ginamit para sa pares ng pampubliko o pribadong key.
Pampublikong key: Ang key na ginagamit ng mga DNS resolver para i-validate na hindi napakialaman ang mga DNS record.

I-deactivate ang DNSSEC para sa iyong domain

Mag-sign in sa Google Domains.
Piliin ang iyong domain.
Piliin ang Menu DNS.
Mag-scroll sa card o box na “DNSSEC.”
- Para sa mga default na name server: Piliin ang I-off.
- Para sa mga custom na name server: Sa tabi ng bawat record, i-click ang I-delete .
Piliin ang I-save.

Mga Tip:

Para sa mga custom na name server, puwede kang makipagtulungan sa iyong DNS provider para alisin sa zone mo ang iyong mga resource record na nauugnay sa DNSSEC.
Kapag na-off mo ang DNSSEC, ia-unpublish kaagad ng Google Domains ang mga DS record ng iyong domain. Kapag na-update na ang pagbabagong iyon sa buong internet, hindi na pinoprotektahan ng DNSSEC ang iyong domain. Puwede itong abutin nang hanggang 48 oras. Para makumpleto ang pag-deactivate ng DNSSEC, posibleng i-unsign ng Google Domains ang iyong DNS zone.

Gumamit ng Dynamic na DNS

Mahalaga: Gumagana ang Dynamic na DNS sa mga IPv4 and IPv6 address, pero hindi puwedeng pagsabayin ang mga ito.

Binibigyang-daan ka ng Dynamic na DNS na idirekta ang iyong domain o ang isang subdomain sa resource na nakatago sa likod ng isang gateway at may IP address na dynamic na itinalaga. Para magamit ang Dynamic na DNS, dapat gamitin mo ang mga default na name server ng Google Domains.

Kung ise-set up mo ang Dynamic na DNS sa Google Domains, magagawa mong:

Gumawa ng A o AAAA record para sa iyong domain o subdomain na nagsasabi sa mga name server ng Google na dynamic na IP ang dapat asahan.
Bumuo ng username at password na magagamit ng iyong host o server para ipadala ang bagong IP address sa mga name server ng Google.

Kapag na-set up mo na ang Dynamic na DNS, dapat kang mag-set up ng client program sa iyong host, server, o gateway na gumagawa ng mga sumusunod:

Nagde-detect ng mga pagbabago sa IP address
Gumagamit ng nabuong username at password
Ipinapadala sa mga name server ng Google ang bagong address

I-set up ang dynamic na DNS

Sa iyong computer, mag-sign in sa Google Domains.
Piliin ang iyong domain.
I-click ang Menu DNS.
Piliin ang Mga default na name server ng Google Domains (Aktibo).

Kung pinili ang “Mga custom na name server (Aktibo),” mayroon ka nang mga custom na name server at hindi mo magagamit ang serbisyong Dynamic na DNS ng Google Domains.

I-click ang Ipakita ang mga advanced na setting.
I-click ang Pamahalaan ang dynamic na DNS Gumawa ng bagong record.
Para magtalaga ng Dynamic na IP, ilagay ang pangalan ng subdomain o root domain.
I-click ang I-save.

Ang mga sumusunod ay ilan pang opsyon para mapamahalaan ang iyong Dynamic na DNS:

Para makita ang mga value ng record: Sa tabi ng record, i-click ang tatsulok.
Para makita ang username at password na ginawa para sa isang record: I-click ang Tingnan ang Mga Kredensyal.
Para i-configure ang iyong gateway o client software para kumonekta sa mga name server ng Google: Gamitin ang username at password na ginawa para sa record.
Para mag-delete ng record:
1. Pumunta sa “Mga resource record.”
2. Sa tabi ng “Dynamic na DNS,” i-click ang tatsulok.
3. Piliin ang I-delete.

Mag-set up ng client program sa iyong gateway, host, o server

May ilang client ng dynamic na DNS na madalas ginagamit, tulad ng DDclient at INADYN. Ang karamihan sa mga router ay nakaka-detect ng mga pagbabago sa IP at ipinapaalam ang mga ito sa mga name server sa pamamagitan ng built-in na software ng mga ito.

I-configure ang client ng iyong dynamic na DNS gamit ang mga sumusunod:

Provider o DNS o Serbisyo: Ang pangalan ng iyong DNS Provider
Username o kredensyal: Ang nabuong username sa Dynamic DNS record
Password o kredensyal: Ang nabuong password sa Dynamic DNS record

Kapag nagawa mo na ang record at na-configure mo na ang iyong client software, i-test ang record. Ilagay ang subdomain at domain sa isang browser, o naaangkop na client, at tiyaking kumokonekta ang mga ito sa tamang resource.

Tip: Ginagamit ng Google Domains ang dyndns2 protocol.

Mga Halimbawa

May suporta na ngayon ang DDclient para sa Google Domains.

DDclient na may Suporta ng Google Domains

Mga entry ng ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Mga halimabawa ng karaniwang configuration ng client:

DDclient
na walang suporta ng Google Domains INADYN

Sample ng mga entry ng ddclient.conf:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Idagdag ang sumusunod sa iyong inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

I-update ang iyong Dynamic DNS record gamit ang API

Awtomatikong ina-update ng client software ng Dynamic na DNS ang iyong dynamic DNS record. Puwede kang magsagawa ng mga manual na pag-update gamit ang API sa pamamagitan ng paggawa ng POST request o GET sa sumusunod na URL:

domains.google.com/nic/update

HTTPS ang kailangan para sa API. Narito ang isang halimbawang request:

https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Magtakda ng user agent

Mahalaga: Dapat ka ring magtakda ng user agent sa iyong request.

Habang tine-test ang URL na direktang nasa itaas, ang domains.google.com/nic/update, karaniwang magdaragdag ang mga web browser ng user agent para sa iyo. Dapat ay maging katulad nito ang final na query sa HTTP na ipapadala sa aming mga server:

Halimbawang query sa HTTP:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1

      Host: domains.google.com

      Authorization: Basic base64-encoded-auth-string

      User-Agent: Chrome/41.0 your_email@yourdomain.com

Mga Parameter ng Request:

Parameter	Kinakailangan o Opsyonal	Paglalarawan
`username:password`	Kinakailangan	Ang nabuong username at password na nauugnay sa host na ia-update.
`hostname`	Kinakailangan	Ang hostname na ia-update.
`myip`	Opsyonal para sa IPv4. Kinakailangan kung mayroon kang IPv6 address.	Ang IP address kung saan itatakda ang host. Kung hindi ito ibibigay, gagamitin namin ang IP ng agent na nagpadala ng kahilingan. Mahalaga: Kung gumagamit ang iyong agent ng IPv6 address, kinakailangan ang `myip`. Puwede mong tingnan ang IP address ng iyong agent sa: https://domains.google.com/checkip.
`offline`	Opsyonal	Itinatakda ang kasalukuyang host sa offline na status. Kung magsasagawa ng request sa pag-update sa isang offline na host, aalisin ang host sa offline na status. Ang mga pinapayagang value ay: `yes` `no`

Kapag naiproseso na ang request, ibabalik ang isa sa mga sumusunod na sagot.

Mahalaga: Tiyaking tama ang pagpapakahulugan mo sa sagot, o puwedeng ma-block ang iyong client sa aming system.

Sagot	Status	Paglalarawan
`good {user’s IP address}`	Matagumpay	Matagumpay ang pag-update. Hindi mo dapat subukang mag-update ulit hanggang sa magbago ang iyong IP address.
`nochg {user’s IP address}`	Matagumpay	Nakatakda na ang ibinigay na IP address para sa host na ito. Hindi mo dapat subukang mag-update ulit hanggang sa magbago ang iyong IP address.
`nohost`	Error	Walang ganoong hostname, o hindi naka-enable ang Dynamic na DNS nito.
`badauth`	Error	Hindi valid ang kumbinasyon ng username/password para sa tinukoy na host.
`notfqdn`	Error	Hindi valid at fully-qualified na domain name ang ibinigay na hostname.
`badagent`	Error	Hindi maayos ang mga ginagawang kahilingan ng iyong client ng Dynamic na DNS. Tiyaking naitakda sa kahilingan ang user-agent.
`abuse`	Error	Na-block ang access sa Dynamic DNS para sa hostname dahil sa pagkabigong tukuyin nang tama ang mga nakalipas na tugon.
`911`	Error	Nagkaroon ng error sa aming bahagi. Maghintay nang 5 minuto at subukan ulit.
`conflict A conflict AAAA`	Error	May custom na A o AAAA resource record na sumasalungat sa pag-update. I-delete ang nakasaad na resource record sa page ng mga setting ng DNS at subukan ulit ang pag-update.