Os nossos serviços, honorários e produtos estão compatíveis com qualquer porte de empresa. O nosso cliente principal possui uma conexão Internet e uma rede local, ou é, ou pretende montar um provedor de acesso Internet. O nosso objetivo principal é encontrar a solução com melhor relação custo/beneficio para o parceiro. Consulte-nos e pede um orçamento sem compromisso.
Como planejar a implementação de DNSSEC
DNSSECDNSSEC ainda não faz parte do planejamento nas redes dos provedores no Brasil, mas seria uma boa ideia pensar nisso logo. DNSSEC resolve uma série de assuntos problemáticos em termos de DNS. Mas estes no momento não são da nossa preocupação, e sim é em que há de pensar, que obstáculo vou encontrar na hora da implementação e o que preciso resolver antes para não comprometer meu sistema durante o processo.

Muitos alertam do maior trafego. Essa questão é muito menos preocupante do que aparece. Acredito que é mais um empecilho artificial para ter desculpa de não implementar DNSSEC. Mas aqui os dados. UM servidor DNS comum numa rede de provedor com 500 usuários e 6MB de link consome alguma coisa entre 20-40kbit/s, trata-se de aprox. 500 requ/min no servidor DNS primário. A mesma rede migrando para DNSSEC consome com a mesma quantidade de requisição algo em torno de 50-80kbit/s. Esses dados podem ser projetados de forma linear para redes maiores.

DNSSECÉ muito importante entender qual a finalidade e o funcionamento geral do DNSSEC. Para facilitar e fazer experiências, sugiro ativar DNSSEC, e, num segundo passo assinar as zonas (domínios) e funcionar como servidor DNSSEC credenciado. Assim pode pegar confiança na coisa e acostumar-se com o novo formato de entradas nos logs.

A configuração inicial é muito simples e rápido, demora apenas 2 minutos e seu servidor DNS já faz consultas e conferencias DNSSEC. Quer saber como? Leia mais ...



DNSSECAtivar DNSSEC com bind é tão simples como plugar um cabo de rede. Sugiro que a sua versão bind é pelo menos 9.7.+, versões anteriores não posso afirmar se funciona assim como vou explicar. Abre o seu named.conf e na secção options adicione:
dnssec-enable yes;

Reinicie o serviço named e pronto. Seu servidor DNS agora sabe falar DNSSEC e vai consultar o ISC DLV se as respostas de servidores remotos são legítimas ou não.

O procedimento é simples assim porque o bind já está com uma chave DLV padrão. Pode ocorrer, caso as permissões no seu diretório não são suficientes para o named, que ele acusa um erro de permissões de gravar a nova chave. É importante ler o log após ativação para ter certeza. Na primeira vez o named acusa no log que a chave DLV (managed keys) não existe, mas essa pode desconsiderar porque ele busca a chave atual no registro DLV. Para ter certeza de que ocorreu bem pode listar o diretório ou re-iniciar o named de novo e pode observar que o aviso não aparece mais.

DNSSECAgora isso não é tudo, porque apenas ajuda você, mas também não muito. Especialmente não ajuda nada em geral porque o seu servidor não retorna nenhuma informação credenciada. Isso só pode ocorrer depois ter assinado uma zona (domínio), registrado esse domínio como DNSSEC no registro.br e ativar o seu registro no DLV para que este possa informar sobre a sua legitimidade para outros servidores consultantes.

Mas essa primeira parte é muito válida para aprender o funcionamento básico do DNSSEC. Acompanhe os logs alguns dias para entender as novas funções e consultas. Detalhes como assinar e registrar seu DNSSEC vou publicar um outro artigo específico dentro de alguns dias. Entretanto, para facilitar o entendimento e separar os logs em secções relacionados pode editar seu named.conf da seguinte forma:

logging {
channel "bind_log" {
file "/var/log/named.log";
severity debug 2;
print-time yes;
print-category yes;
};
channel "xfer_log" {
file "/var/log/named-xfer.log";
severity debug 2;
print-time yes;
};
channel "queries_log" {
file "/var/log/named-queries.log";
severity debug 2;
print-time yes;
};
channel "client_log" {
file "/var/log/named-client.log";
severity debug 2;
print-time yes;
};
channel update_debug {
file "/var/log/named-update.log";
severity debug 2;
print-category yes;
print-severity no;
print-time yes;
};
channel security_info {
file "/var/log/named-auth.log";
severity debug 2;
print-category yes;
print-severity no;
print-time yes;
};
channel dnssec_log {
file "/var/log/dnssec.log" size 20m;
print-time yes;
print-category yes;
print-severity yes;
severity debug 2;
};
category "lame-servers" { null;};
category "database" { null;};
category "update" { update_debug; };
category "update-security" { update_debug; };
category "security" { security_info; };
category "client" { client_log;};
category "queries" { queries_log; };
category "query-errors" { queries_log; };
category "xfer-in" { xfer_log;};
category "xfer-out" { xfer_log;};
category "default" { bind_log;};
category "dnssec" { dnssec_log;};
category "resolver" { client_log;};
category "general" { update_debug;};
};


Para os primeiros dias, possivelmente quer ajustar o debug-level para 3 ou 4, para obter uma melhor ideia do que acontece. Mas tenha cuidado, muitos dados serão logados, para não encher sua partição.

DNSSECEdite seu newsyslog.conf para que os logs serão virados quando chegam a um certo tamanho de por exemplo 5MB.

Detalhes sobre o significativo dos channels e categories pode encontrar na documentação do bind. Certas categorias não logamos (null) porque não achamos interessante, somente enche a tela demais. Caos queria ativar basta criar um channel para estes e ativar.

Aguarde o artigo de Como assinar e registrar as zonas DNSSEC.




- Gerar Código de Link - 1567 Acessos - Imprimir

  Comentários (2)
 1 Enviado por Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo , em 27/03/2013 23:16
A plaesingly rational answer. Good to hear from you.
 2 Enviado por Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo , em 30/03/2013 05:03
I'm so glad that the internet awllos free info like this!

Comentar
Seja objetivo, não ofenda e não envie propaganda por favor.
Nome:
E-mail
Comentário:

Código:* Code

 
< Anterior   Próximo >

MESH
WIPO que é MESH? Acredito que originalmente usado para definir tecido, semelhante a palavra rede (NET), e já estamos vendo, a criança precisa um nome. Podemos dizer, dentro dessa área, que uma rede mesh, ou mesh network (porque não dizemos rede rede ou mesh mesh?), define uma infra-estrutura onde todos os componentes estão diretamente conectados.

Nume rede wireless comum temos um ou vários AP (accesspoints), conectados em série, através de enlaces, até chegar no provedor onde ocorre a interligação com a Internet. Todos estes APs funcionam em modo hostap para aceitar as conexões dos clientes e a conexão entre os APs costuma funcionar no modo PP ou Adhoc. Neste scenário temos envolvido o endereçamento IP com rotas para a interligação lógica. Todos os APs, as redes hostap e adhoc, possuim um SSID e canal diferente.

Uma rede MESH funciona diferente. Eliminamos os enlaces. Os APs funcionam no modo MESH, podendo ocorrer a interconexão diretamente entre eles e com os clientes. Podemos interligar tantos APs necessários com apenas UMA interligação com a Internet.

MESH com sistema WIP WCE

Neste exemplo usamos duas conexões com o WCO (Veja Estrutura Wireless) para garantir redundância no caso que um componente falha. Leia o artigo inteiro para saber mais ...

Artigo inteiro
 


Matik nas Redes Sociais

Infomatik no Facebook Infomatik no Twitter Infomatik no Google+ HPower no Linkedin opiniões Infomatik no Blogger Visite-nos no Orkut Infomatik no Facebook




Buscar no Site


Seja responsável, preserve o Meio Ambiente.
Preserve o Meio Ambiente, evite o uso de papel!

Comentários recentes

Como fazer um cabo de rede Cro...
otima dica
de emannuel - Ler todo ...

Como configurar SPF?
Parabéns, excelente artigo.
de Ivan - Ler todo ...

Polémica Licença SCM para prov...
Concordo plenamente acho que a anatel deveriam dar chance ao...
de Gilson - Ler todo ...

kB, KB, Mb, Bits e Bytes que c...
Gosto bastant do google.
de Miguel victorino Nhaguiombe - Ler todo ...

A grande dúvida: IDE ou SCSI ?
Hello!Probably your new os has different id scsi segtints fo...
de Ichwan - Ler todo ...

Estatisticas

Acessos: 8403600
2 visitantes online


Integração VoIP Inteligente


Site Tags

255.255.255.252   acesso   alguns   antena   antenas   bom   chave   configuração   dados   das   dkim   dns   domínio   ele   email   endereço   essa   este   estão   existe   fica   freebsd   fácil   hora   isso   mail   mensagem   mensagens   muitos   nos   outro   outros   podem   podemos   porque   porém   programa   quer   rede   rádio   sabe   saber   seja   sendo   servidores   serviço   spam   spf   todas   windows   wireless  

Webmail Login

Nome de Usuário

Senha
Hospedagem Email
Seu Domínio .COM.BR é aqui. Sem rolo, sem propaganda, sem SPAM, sem Vírus, rápido, seguro e confidencial. Com SID e DKIM.
Hospedagem Matik Quer hospedar seu Site WWW, ERP ou CRM? A Matik é o seu lugar!
DNS Outsourcing Seguro, Rápido e com Garantia 24x7. DNSSEC, TSIG, DDNS, rDNS. A sua necessidade na mão de profissionais.
ns_casal.png
AP da Matik (WCE) O único que realmente amarra MAC ao IP. Acabou cloning, até 4 rádios num AP, até 150 clientes em cada rádio, navegando claro. Esquece que já viu.
WIP Cache Boost O único sistema que cumpre a promessa. Full Cache TPROXY de streaming mídia integrado num servidor de controle de banda e muito mais.