Мне нужен DNSSEC?
После чтения о реализации DNSSEC в Windows Server 2008 R2 мне кажется, что это добавляет дополнительную сложность, не будучи полностью безопасным так или иначе (я действительно понимаю, что больше безопасности всегда является средствами больше сложности в большинстве случаев).
1-й клиент DNS не знает о DNSSEC, и спросите тот же сервер, который разрешил запись, чтобы проверить законность этой записи и сделать это только в случае присутствия таблицы NRPT (необходимо настроить это дополнительно - никакая таблица никакая проверка; и это все еще имеет место в WS 2012/победа 8). Кроме взгляда так или иначе неуклюжего мудрый архитектурой, вещь состоит в том, что у клиента нет опций проверить сервер DNS (чтобы быть на 100% безопасным в этом отношении, Вам нужен IPSec, развернутый в сети Windows, которая добавляет еще больше сложности).
Так принятие во внимание всего этого делает развертывание DNSSEC, стоящий в реальном мире? Это действительно улучшает безопасность или просто добавляет ненужную сложность?
Кто-либо действительно использует эту технологию на предприятии сети Windows?
Один из способов взглянуть на это - неважно, "стоит ли это того" или нет. Это прямолинейно обязательно в определенных средах, которые должны соответствовать определенным политикам аудита, таким как FISMA и FedRAMP. (Читайте NIST Special Publication 800-53 SC-20 и SC-21.)
Если вы не подпадаете под такие требования, то только вы можете решить, стоит ли это того или нет. Действительно, DNSSEC и IPsec представляют сложность. Использование DNSSEC с внутренними/частными зонами без связи с IPsec имеет ограниченную ценность. Говоря о внутренних/приватных DNS зонах, DNSSEC полезен только в том случае, если клиент может доверять тому, что он общается с настоящим, корректным DNS сервером. А для проверки подлинности, как правило, также требуется IPsec.
Также следует учитывать а не использование DNSSEC на сервере Windows Server на чем-нибудь менее важном, чем Server 2012. DNSSEC на сервере 2008 R2 способна использовать только SHA-1, а не SHA-2. А поскольку корневая зона интернета (то есть .) подписана RSA/SHA-256, это означает, что Server 2008 R2 будет бесполезен в качестве валидатора интернет зон. Сервер 2012 и выше решает эту проблему.
Слишком ли сложна эта проблема для вас или вашей компании, или добавленное преимущество стоит того... слишком субъективно, и мы не можем ответить за вас.
.