20.8. Seguridad DNS

La DNSSEC, o lo que es lo mismo "seguridad DNS", se describe en la norma RFC 2535. Las herramientas disponibles para utilizar DNSSEC se describen en el manual de BIND.

Una zona segura debe contar con una o varias claves de zona asociadas a ella. Se generan mediante dnssec-keygen, al igual que las claves de host. El algoritmo de cifrado de DSA se utiliza actualmente para generar estas claves. Las claves públicas generadas deberían incluirse en el archivo de zona correspondiente mediante una regla $INCLUDE.

Gracias al comando dnssec-makekeyset, todas las claves generadas se agrupan en un conjunto, que debe transferirse a continuación a la zona principal de una manera segura. En la zona principal, el conjunto se firma con dnssec-signkey. Los archivos generados por este comando se utilizarán para firmar zonas con el comando dnssec-signzone, que, a su vez, genera los archivos que se incluirán en cada zona en /etc/named.conf.