:strip_exif()/i/2007701380.avif?f=thumbmini)
Ik ben op zoek naar een vervanging van onze huidige (externe) DNS provider (i.v.m. stabiliteitsissues) en daarbij heb ik gekeken naar diverse zaken waaronder DNSSEC ondersteuning. Hierbij kwam ik tot de conclusie dat niet alle DNS providers ondersteuning bieden voor het wisselen van de DNSSEC sleutels, iets dat je eigenlijk om de zoveel maanden wilt wijzigen om het lekken/kraken van sleutels tegen te gaan. Soms wordt er helemaal niets over vermeld, zijn ze niet heel erg open in wat ze wel of niet doen of zijn er andere beperkingen waardoor ze afvallen.
Toen las ik over het gebruik van een Hidden Primary DNS server, waarbij je dan zelf kunt bepalen wanneer je de DNSSEC sleutels wijzigt en hoe vaak je dat wilt doen. Waarbij het voordeel dan ook nog eens is dat je de sleutels in huis houdt zonder deze op de Secondary DNS servers geplaatst te hoeven worden.
Ik heb een test-opzet gedaan met gebruik van PowerDNS met MariaDB backend database en een frontend op basis van PowerDNS-Admin en dat werkt eigenlijk best wel goed.
E.e.a. heb ik met het management van onze afdeling besproken en men maakte zich zorgen over de complexiteit van deze opzet, het is voor ons namelijk een nieuw iets en we hebben er nog niet heel veel ervaring mee en er zijn nog wat zaken die uitgewerkt zouden moeten worden voor we het in productie zouden kunnen nemen. Op zich begrijpelijk, maar hoe vaker je er mee werkt hoe makkelijker het wordt natuurlijk. Records toevoegen is geen issue natuurlijk, maar meer dat het proces van sleutelwijzigingen nog uitgezocht moet worden. Iets waarvoor ik eerst een test-opzet in de praktijk zou willen doen ook voor we überhaupt in productie zouden gaan.
Voordelen die ik zelf zie van deze opzet:
- Minder afhankelijk van een enkele DNS provider, het is eenvoudig een tweede DNS provider toe te voegen (via de Registrar, ook nog te kiezen) als extra Secondary. Bevalt een DNS provider niet meer, dan haal je simpelweg de verwijzingen weg (NS records) en doet die niet meer mee zonder dat je daadwerkelijk je domein moet verhuizen.
- Met een onafhankelijke Registrar, die DNSSEC ondersteuning biedt voor alle gewenste TLD's, zijn we ook minder afhankelijk van de ondersteuning die DNS provider zelf biedt op dit vlak (niet alle DNS providers of Registrars bieden DNSSEC aan voor alle bij ons in gebruik zijnde TLD's).
- Eigen verantwoordelijkheid/beheer over de backup van DNS (als in kunnen restoren).
- Hidden Primary DNS wordt alleen gebruikt voor het beheer van DNS, niet als server waarop veel requests van binnen komen. Alleen de Secondary DNS servers dienen deze server te kunnen benaderen om AXFR/IXFR zone transfers te kunnen doen.
- Niet beperkt door de keuzes die DNS providers maken met betrekking tot sleutelwijzigingen op DNSSEC, dat bepaal je immers zelf.
- Sleutels in eigen beheer op een lokale server.
Nadelen zijn er natuurlijk ook wel:
- Je moet kennis en ervaring opdoen met het beheer van de gekozen oplossing en zorgen dat je interne backup hebt van deze kennis.
- DNSSEC kan best complex zijn...
- Beheer kost tijd en dus geld.
- Bepaalde functionaliteit van DNS providers is alleen beschikbaar als je ze als Primary DNS gebruikt, dus die functionaliteit zullen we dan zelf moeten regelen. Aan de andere kant kan dat ook een probleem zijn als je twee externe DNS providers met elkaar combineert in deze opzet (de ene als Primary en de andere Secondary).
PS. Wij bieden diensten aan aan onze wereldwijde zakelijke klanten, diensten die wij voor het merendeel intern hosten. Bereikbaarheid van de DNS dienst is belangrijk voor onze dienstverlening.
Mijn vraag is gericht aan diegenen die ooit ook voor deze keuze hebben gestaan en om een bepaalde reden juist wel of niet voor deze opzet hebben gekozen. Ik ben benieuwd waarom dat toen wel of niet is gedaan. Als dat wel is gedaan, aan welke omvang van het bedrijf moet ik dan denken (personeelsaantal). Bij een Internet provider of hosting provider is het vermoedelijk meer voor de hand liggend om het zelf te doen. Als iemand hier als externe consultant of leverancier bij betrokken is geweest en informatie heeft over hoe vaak hiervoor wordt gekozen dan is dat uiteraard ook welkom.
Toen las ik over het gebruik van een Hidden Primary DNS server, waarbij je dan zelf kunt bepalen wanneer je de DNSSEC sleutels wijzigt en hoe vaak je dat wilt doen. Waarbij het voordeel dan ook nog eens is dat je de sleutels in huis houdt zonder deze op de Secondary DNS servers geplaatst te hoeven worden.
Ik heb een test-opzet gedaan met gebruik van PowerDNS met MariaDB backend database en een frontend op basis van PowerDNS-Admin en dat werkt eigenlijk best wel goed.
E.e.a. heb ik met het management van onze afdeling besproken en men maakte zich zorgen over de complexiteit van deze opzet, het is voor ons namelijk een nieuw iets en we hebben er nog niet heel veel ervaring mee en er zijn nog wat zaken die uitgewerkt zouden moeten worden voor we het in productie zouden kunnen nemen. Op zich begrijpelijk, maar hoe vaker je er mee werkt hoe makkelijker het wordt natuurlijk. Records toevoegen is geen issue natuurlijk, maar meer dat het proces van sleutelwijzigingen nog uitgezocht moet worden. Iets waarvoor ik eerst een test-opzet in de praktijk zou willen doen ook voor we überhaupt in productie zouden gaan.
Voordelen die ik zelf zie van deze opzet:
- Minder afhankelijk van een enkele DNS provider, het is eenvoudig een tweede DNS provider toe te voegen (via de Registrar, ook nog te kiezen) als extra Secondary. Bevalt een DNS provider niet meer, dan haal je simpelweg de verwijzingen weg (NS records) en doet die niet meer mee zonder dat je daadwerkelijk je domein moet verhuizen.
- Met een onafhankelijke Registrar, die DNSSEC ondersteuning biedt voor alle gewenste TLD's, zijn we ook minder afhankelijk van de ondersteuning die DNS provider zelf biedt op dit vlak (niet alle DNS providers of Registrars bieden DNSSEC aan voor alle bij ons in gebruik zijnde TLD's).
- Eigen verantwoordelijkheid/beheer over de backup van DNS (als in kunnen restoren).
- Hidden Primary DNS wordt alleen gebruikt voor het beheer van DNS, niet als server waarop veel requests van binnen komen. Alleen de Secondary DNS servers dienen deze server te kunnen benaderen om AXFR/IXFR zone transfers te kunnen doen.
- Niet beperkt door de keuzes die DNS providers maken met betrekking tot sleutelwijzigingen op DNSSEC, dat bepaal je immers zelf.
- Sleutels in eigen beheer op een lokale server.
Nadelen zijn er natuurlijk ook wel:
- Je moet kennis en ervaring opdoen met het beheer van de gekozen oplossing en zorgen dat je interne backup hebt van deze kennis.
- DNSSEC kan best complex zijn...
- Beheer kost tijd en dus geld.
- Bepaalde functionaliteit van DNS providers is alleen beschikbaar als je ze als Primary DNS gebruikt, dus die functionaliteit zullen we dan zelf moeten regelen. Aan de andere kant kan dat ook een probleem zijn als je twee externe DNS providers met elkaar combineert in deze opzet (de ene als Primary en de andere Secondary).
PS. Wij bieden diensten aan aan onze wereldwijde zakelijke klanten, diensten die wij voor het merendeel intern hosten. Bereikbaarheid van de DNS dienst is belangrijk voor onze dienstverlening.
Mijn vraag is gericht aan diegenen die ooit ook voor deze keuze hebben gestaan en om een bepaalde reden juist wel of niet voor deze opzet hebben gekozen. Ik ben benieuwd waarom dat toen wel of niet is gedaan. Als dat wel is gedaan, aan welke omvang van het bedrijf moet ik dan denken (personeelsaantal). Bij een Internet provider of hosting provider is het vermoedelijk meer voor de hand liggend om het zelf te doen. Als iemand hier als externe consultant of leverancier bij betrokken is geweest en informatie heeft over hoe vaak hiervoor wordt gekozen dan is dat uiteraard ook welkom.
:strip_icc():strip_exif()/u/28640/icon.jpg?f=community){kind=icon}
