Přeskočit na hlavní obsah

DNSSEC autoritativní server prakticky

Na úvod několik odkazů na DNSSEC analyzátory:
V Bindu je potřeba zapnout podporu DNSSEC. K tomu stačí do named.conf napsat dnssec-enable yes. Pokud máte více domén, tak je vhodné zonový soubor umístit do samostatného adresáře. Při vytváření klíčů a podepisování vznikne hodně souborů.

Nyní už k samostatným postupům podepisování a výměny klíčů.

Podepsání domény:
  1. Vytvořit KSK pomocí příkazu: dnssec-keygen -r /dev/urandom -a RSASHA512 -b 2048 -3 -n ZONE -f KSK domena.cz
  2. Vytvořit ZSK pomocí příkazu:  dnssec-keygen -r /dev/urandom -a RSASHA512 -b 1024 -3 -n ZONE domena.cz
  3. Podepsat a publikovat zónu - to uděláme například pomocí tohoto skriptu: 
  4. cd /var/named/domena.cz
    nahoda=$(cat /dev/urandom | tr -cd 'a-f0-9' | head -c 32)
    echo -e "\n\nPodepisuji doménu domena.cz"
    dnssec-signzone -S -N unixtime -3 $nahoda domena.cz
    rndc reload domena.cz 

  5. Počkat na vypršení TTL tak, aby všechny kešovací servery načetly již podepsanou zónu.
  6. Publikovat DS záznamy do nadřazené zóny. V našem případě do cz domény. To se dělá pomocí doménových registrátorů. Někteří registrátoři chtějí od vás veřejný klíč z kterého si pak sami vytvoří DS záznam. Někteří pak chtějí rovnou DS záznam který naleznete v souboru dsset-domena.cz.

Změna ZSK (tzv.: předčasná publikace):

  1. Vytvořit nový ZSK klíč.
  2. Podepsat zónu starým ZSK klíčem.
  3. Počkat na vypršení TTL.
  4. Podepsat zónu novým ZSK klíčem.
  5. Odstranit starý ZSK.
U tohoto postupu využijeme příkazu dnssec-settime. Pomocí tohoto příkazu můžeme nastavit u každého klíče různá data.
  • -P - Datum publikace. (Výchozí je ihned.)
  • -A - Datum aktivace. (Výchozí je ihned.)
  • -R - Datum revokace.
  • -I - Datum deaktivace.
  • -D - Datum smazání.
Takže v případě výměny ZSK nastavíme u starého klíče datum deaktivace stejný jako u nového klíče datum aktivace. Nový klíč musí mít datum publikace minimálně o maximální TTL dříve než je jeho aktivace. Dále můžeme nastavit datum smazání u starého ZSK klíče. Po smazání starého ZSK klíče z domény můžeme vymazat klíč i z disku.

Změna KSK (tzv.: Dvojtý podpis):
  1. Vytvořit nový KSK.
  2. Podepsat zónu starým i novým KSK klíčem.
  3. Počkat na vypršení TTL.
  4. Vložit DS záznam do nadřazené domény.
  5. Počkat na vypršení TTL.
  6. Odebrat z domény starý KSK.
Znovu budeme pracovat hlavně s příkazem dnssec-settime. U nového klíče necháme nastaven datum publikace i aktivace na ihned. Počkáme na vypršení TTL a pak vložíme do nadřazené zóny. Poté nastavíme datum deaktivace (smazání) u starého klíče.



Závěr
U příkazu dnssec-signzone je důležitý parametr -S, který příkazu říká, že má pracovat s nastavenými časy u klíčů.

Komentáře

Populární příspěvky z tohoto blogu

OSPF skrze IPSec (GRE)

Jednou z variant jak nastavit IPSec VPN tak, aby bez problémů fungovalo OSPF routování je použít IPSec over GRE.
Nákres:
Funguje to takto: Vytvoříme na obou routerech virtuální interface tunnel. Tyto tunely propojíme virtuální linkou. Veškerý provoz mezi těmito interface bude zabalen do GRE protokolu. Nastavíme IPSec tak, aby veškerý GRE provoz mezi routry šifroval pomocí IPSec.Nastavíme routovací protokol OSPF. Stejný princip lze použít i na linuxu například s OpenVPN + OSPFD.

Virtuální tunely: Virtuální tunely vytvoříme příkazem "interface tunnel x" a nastavíme minimálně IP adresu, tunnel source a tunnel destination.
V našem případě takto:
Router A
Router_A(config)#interface Tunnel1
Router_A(config-if)#description VPN do LAN B
Router_A(config-if)#ip address 192.168.3.1 255.255.255.252
Router_A(config-if)#tunnel source FastEthernet0
Router_A(config-if)#tunnel destination 222.222.222.222 Router B
Router_B(config)#interface Tunnel1
Router_B(config-if)#description VPN do LAN A
R…