最近更新於 2013-05-10, 週五

Q. 什麼是DNSSEC?
A. DNSSEC全名為DNS Security Extensions,以原有的DNS為基礎,利用數位簽章的方式為DNS傳遞的內容加入安全性,且完全相容DNS。

 

Q. 佈署DNSSEC有什麼好處?
A. 由於DNS協定天生的缺陷,近年經常發生重大的DNS資安事件,佈署DNSSEC能減少因DNS缺陷而導致的網路攻擊。且從2010年7月開始,根網域已經支援DNSSEC,目前約有80個頂級網域支援DNSSEC,導入DNSSEC以提升網路基礎建設的安全,已成為國際共識。

 

Q. DNSSEC的佈署目前還在實驗階段嗎?
A. 從2010年,我們開始佈署DNSSEC實驗網域,在2011年即脫離實驗階段,先後於交大資工系、交大校計中正式佈署維運,每日提供約兩千萬次服務。在2012年中導入edu.tw網域,每日提供九千六百萬次服務。

 

Q. edu.tw網域導入DNSSEC是什麼意思?
A. 就DNS/DNSSEC查詢的過程來說,有使用者、Resolver、及Authoritative Server三個角色,分別擔任啟動查詢、執行查詢、及回應查詢三個工作。所謂edu.tw網域已導入DNSSEC,表示edu.tw網域在Authoritative Server這個角色上,可回應DNSSEC Resolver的查詢。

 

Q. edu.tw網域導入DNSSEC,對使用者有什麼影響?
A. 只要使用者所使用的Resolver有支援DNSSEC的話,查詢edu.tw網域時就可獲得安全的回應,使用者不需做任何改變。DNS Resolver升級成DNSSEC Resolver非常簡單,新版的BIND已經預設將Resolver的DNSSEC功能打開,使用者可能在不知不覺中已經獲得DNSSEC帶來的安全性。

 

Q. 我是xxx.edu.tw網域的管理員,edu.tw網域導入DNSSEC對我有什麼影響,我需要做什麼配合?
A. DNSSEC的導入是以個別網域為單位,不包含底下的子網域。xxx.edu.tw仍會維持原來DNS的狀況,沒有任何改變。同時建議您將所管理的Resolver升級為DNSSEC,供該區域使用者使用。

 

Q. 我是xxx.edu.tw網域的管理員,我們一定要佈署DNSSEC嗎?
A. 目前教育部並未強制TANet下屬單位佈署DNSSEC,各單位可自行決定佈署與否。

 

Q. 佈署DNSSEC階段對我們有什麼負擔?
A. DNSSEC的效能需求與DNS相近,一般來說不需購置新的機器或擴充頻寬。主要的負擔在於管理員必須學習新的知識與技術。

 

Q. DNSSEC技術很複雜嗎? 後續維護會很繁瑣嗎?
A. DNSSEC的技術難度確實比DNS高上許多,因此我們撰寫了一系列的文件,並安排教育訓練與實作課程。整體來說,DNSSEC建置的難度較高,但後續維護負擔與DNS相近。

 

Q. 我們該如何佈署DNSSEC?
A. 我們已架設DNSSEC專屬網站,提供佈署SOP、教學文件、DNSSEC技術報告等供參考。網址為http://dnssec.tanet.edu.tw

 

Q. 我們DNS server所採用的OS與佈署SOP使用的不盡相同,應如何處理?
A. 本佈署SOP是將原本使用BIND架設的DNS server,透過適當的設定流程升級成DNSSEC server,在概念上是功能上的疊加而非全新打造,除此之外本SOP也涵蓋一般性作法供其他OS管理者參考。因此原先建置DNS server的OS與方法均可沿用,再配合本SOP的一般性作法將DNS server升級成DNSSEC server。

 

Q. 佈署DNSSEC過程若遇到問題我們該如何尋求協助?
A. 歡迎各位前往專屬網站的討論區發問,希望能公開彙整各位的問題並解答,並能讓之後擁有相同問題的人員立即獲得解答。

Monday the 10th Jun 2019. . Powered by Joomla!®