Nätövervakning DNSSec med Bluecat

2015-01-30

Certezzas Nätövervakning för DNS/DNSSec har fått utökat stöd för att kunna kontrollera KSK giltighetstiden direkt mot en Bluecat Proteus/Address Manager. Det gör att besked kan ges att KSK är på väg att gå ut och att DS måste uppdateras i föräldrazonen. Detta för att förbereda berörda resurser i god tid om att uppdatering för DNSSec behöver göras, så att avbrott i DNS-tjänsten kan undvikas. Vanligtvis kräver en uppdatering av DS en manuell åtgärd hos den registrar som zonen finns registrerad hos. Då KSK ofta har en giltighetstid på ett eller flera år är det ofta svårt att planera in när denna uppdatering ska ske. Det är inte heller säkert att det är samma resurser som är ansvariga för systemet som sådant som ska göra denna uppdatering. Övervakningen sker med hjälp av en Perl-plugin som körs schemalagt lokalt. Den gör sedan en passiv rapportering till Certezzas Nätövervakningstjänst över vanlig HTTPS.

Förklaring av termer

KSK, Key Signing Key – Benämningen på det DNSKEY record som används för att signera övriga nycklar i zonen och är förtroendepunkt för den förtroendekedja som finns till överliggande zoner igenom DS posten i föräldrazonen.

ZSK, Zone Signing Key – Benämningen på det DNSKEY record som används för att signera de vanliga resource records som finns i zonen.

DS, Delegation Signer – En speciell typ av record som har en digest för en KSK för att ange länk mellan föräldrazonens DS och den signerade zonens KSK. Används för att bygga en förtroendekedja hela vägen upp till DNS Root servrarna.

Bluecat Networks

Bluecat Networks tillhandahåller produkter för DNS/DHCP/IPAM. Se www.bluecatnetworks.com för mer information.

För mer information

Kontakta Certezza Sälj vid frågor
E-post: sales@certezza.net
Telefon: 08-791 92 00