Přeskočit na hlavní obsah

O mně

Vítám vás na mých osobních stránkách.

Dovolte, abych se vám představil. Jmenuji se Jan Řežab. Už více jak 10 let se profesionálně zabývám informačními technologiemi. Mezi mé oblíbené oblasti v IT patří bezpečnost IT (firewally, PKI), komunikace (Exchange, Sendmail, Jabber) a sítě (Cisco, Linux IPTables).


Populární příspěvky z tohoto blogu

OSPF skrze IPSec (GRE)

Jednou z variant jak nastavit IPSec VPN tak, aby bez problémů fungovalo OSPF routování je použít IPSec over GRE.
Nákres:
Funguje to takto: Vytvoříme na obou routerech virtuální interface tunnel. Tyto tunely propojíme virtuální linkou. Veškerý provoz mezi těmito interface bude zabalen do GRE protokolu. Nastavíme IPSec tak, aby veškerý GRE provoz mezi routry šifroval pomocí IPSec.Nastavíme routovací protokol OSPF. Stejný princip lze použít i na linuxu například s OpenVPN + OSPFD.

Virtuální tunely: Virtuální tunely vytvoříme příkazem "interface tunnel x" a nastavíme minimálně IP adresu, tunnel source a tunnel destination.
V našem případě takto:
Router A
Router_A(config)#interface Tunnel1
Router_A(config-if)#description VPN do LAN B
Router_A(config-if)#ip address 192.168.3.1 255.255.255.252
Router_A(config-if)#tunnel source FastEthernet0
Router_A(config-if)#tunnel destination 222.222.222.222 Router B
Router_B(config)#interface Tunnel1
Router_B(config-if)#description VPN do LAN A
R…

DNSSEC autoritativní server prakticky

Na úvod několik odkazů na DNSSEC analyzátory:
VerisignLabs: http://dnssec-debugger.verisignlabs.comSandia National Laboratories: http://dnsviz.net. Nejlépe funguje ve Firefoxu. V Bindu je potřeba zapnout podporu DNSSEC. K tomu stačí do named.conf napsat dnssec-enable yes. Pokud máte více domén, tak je vhodné zonový soubor umístit do samostatného adresáře. Při vytváření klíčů a podepisování vznikne hodně souborů.
Nyní už k samostatným postupům podepisování a výměny klíčů.
Podepsání domény: Vytvořit KSK pomocí příkazu: dnssec-keygen -r /dev/urandom -a RSASHA512 -b 2048 -3 -n ZONE -f KSK domena.czVytvořit ZSK pomocí příkazu:  dnssec-keygen -r /dev/urandom -a RSASHA512 -b 1024 -3 -n ZONE domena.czPodepsat a publikovat zónu - to uděláme například pomocí tohoto skriptu:  cd /var/named/domena.cz
nahoda=$(cat /dev/urandom | tr -cd 'a-f0-9' | head -c 32)
echo -e "\n\nPodepisuji doménu domena.cz"
dnssec-signzone -S -N unixtime -3 $nahoda domena.cz
rndc reload domena.cz 
Počkat na …