Vyhledávání


vytiskni pdf
Jak nastavit DNSSEC zónu na dedikovaném serveru

Co je DNSSEC?


Služba DNS je nezbytná pro téměř všechny služby na síti Internet, ale jelikož lze tuto službu napadnout (a to hned několika metodami), je tato služba považována za nebezpečnou. Naštěstí byly velmi rychle vytvořeny patche a můžete tedy použít bezpečnější alternativu: DNSSEC.

Pro porozumění DNSSEC musíte nejprve pochopit co je asymetrická kryptografie. Ta se skládá ze dvou klíčů: veřejného a privátního.
Privátní klíč je použit pro generování šifrovaných informací, zatímco veřejný klíč umožňuje pouze čtení. Pro generování veřejného klíče je nutné použít privátní klíč. Jestliže tedy máte špatný veřejný klíč, nebo porušená data, nebudete schopni si informace přečíst.

V současnosti je doporučeno, abyste si každé 3 měsíce změnili ZSK a každý rok provedli i změnu KSK. Také mějte na paměti, že musíte schválit Vaši TLD zónu.

V případě DNSSEC administrátor přidá čísla do své oblasti (PRSIG), DNS každého políčka používá jeho privátní klíč a zpřístupní klíč veřejný (DNSKEY), takže ho můžete číst. A pomineme stipu v registru klíče (DS).

Červeně označené řetězce v této příručce se musí nahradit Vašimi vlastními hodnotami.


V šedě označených odstavcích naleznete praktické příklady.



Požadavky


- Vaše doména používá DNS spjatý s Vaším dedikovaným serverem
- Vaše doména má již nastavenu svoji DNS zónu na Vašem dedikovaném serveru


Definice pojmů


ZSK : Skládá se z veřejného a privátního klíče, jsou používány k označení polí v oblasti. Tyto klíče jsou pro registr neznámé.
KSK : Skládá se z veřejného a privátního klíče a je použit pouze pro označení ZSK klíčů. Tyto klíče jsou označeny od DS pole v zóně rodiče.
DNSKEY : Pole obsahující veřejný klíč
DS : Toto je zkrácenina DNSKEY. Ta je přeposílána do zóny rodiče.


Generování Vašeho klíče


My používáme dnssec-keygen. Tento nástroj používá entropii, která je generována během používání stroje. Stroj může mít generovánu entropii. V tomto případě používáme "-r / dev / urandom" pro šetření času, ale obecně to OVH nedoporučuje.

Generování KSK klíče


V následujících příkladech budeme pracovat v adresáři obsahujícím DNS zóny. V tomto konkrétním případě se jedná o /etc/named/"

Generujeme klíč pomocí příkazu "dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE mydomain.eu" :


root@ks34682 ~# dnssec-keygen -f KSK -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE likarum.eu
Generating key pair.........................................................................+++ .............................................+++
Klikarum.eu.+008+04789

Kvůli tomu, že KSK klíč má název Klikarum.eu.+008+04789, který se nám příliš nelíbí, přejmenujeme ho na použitelnější název:

root@ks34682 named# mv Klikarum.eu.+008+10954.key Klikarum.eu.ksk.key
root@ks34682 named# mv Klikarum.eu.+008+10954.private Klikarum.eu.ksk.private



Generování ZSK klíče


Klíč generujeme pomocí příkazu "dnssec-keygen -a RSASHA256 -b 2048 -n ZONE mydomaine.eu" :


root@ks34682 ~# dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE likarum.eu
Generating key pair....................................................................+++ .....+++
Klikarum.eu.+008+43119

I v tomto případě se nám název ZSK klíče Klikarum.eu.+008+43119 nelíbí a proto ho přejmenujeme:


root@ks34682 named# mv Klikarum.eu.+008+02184.key Klikarum.eu.zsk.key
root@ks34682 named# mv Klikarum.eu.+008+02184.private Klikarum.eu.zsk.private


Vložení klíče do Zóny


Klíč *.key nyní obsahuje veřejné klíče. Ty je nyní potřeba vložit do naší DNS zóny.
Buďto můžete přidat obsah či přidat pole pro začlenění do Vaší oblasti. Zde jsme se rozhodli pro začlenění:

$include /etc/named/Kmondomaine.eu.zsk.key ; ZSK
$include /etc/named/Kmondomaine.eu.ksk.key ; KSK

Nyní využijeme příležitosti pro navýšení seriového čísla naší zóny. V naší oblasti změníme hodnotu 2011122603 na 2011122604

Zde je vidět, jak vypadá naše DNS zóna:

root@ks34682 named# cat likarum.eu
$ttl 86400
likarum.eu. IN SOA likarum.eu. postmaster.likarum.eu. (
2011122603
21600
3600
604800
86400 )
IN NS ks34682.kimsufi.com.
IN NS ns.kimsufi.com.
IN MX 10 mail.likarum.eu.
IN A 213.251.174.72
www IN A 213.251.174.72
mail IN A 213.251.174.72
smtp IN A 213.251.174.72
pop IN A 213.251.174.72
pop3 IN A 213.251.174.72
imap IN A 213.251.174.72
sql IN A 213.251.174.72
mysql IN A 213.251.174.72
vetements IN A 213.251.174.72
likarum.eu IN TXT "v=spf1 a ~all mx ~all ptr:ovh.net ~all"
webmail IN A 213.251.174.72
$include /etc/named/Klikarum.eu.zsk.key
$include /etc/named/Klikarum.eu.ksk.key


Vytvoření a použití DNSSEC Zóny



Šifrování


Zónu označíme pomocí příkazu: "dnssec-signzone -eYYYYMMDDHHMMSS -p -t -g -k Kmydomain.eu.ksk.key -o mydomaine.eu my-dns-zone-file Kmyndomain.eu.zsk.key".

Hodnota ~ ~ # FF0000: YYYYMMDDHHMMSS ~ ~ reprezentuje datum expirace. Jestliže chceme, aby naše zóna expirovala 4.března 2012 ve 4:20, napíšeme: 20120304042000


root@ks34682 named# dnssec-signzone -e20120330000000 -p -t -g -k Klikarum.eu.ksk.key -o likarum.eu likarum.eu Klikarum.eu.zsk.key


Získáme soubor nazvaný: my-dns-zone-file.signed


Nastavení named


Zkontrolujeme, že named je nastaven pro používání DNSSEC. Měli byste nalézt konfigurační soubor named a uvnitř proměnnou dnssec-enable která je rovna yes.


root@ks34682 named# cat /etc/bind/named.conf|grep dnssec-enable
dnssec-enable yes;

Jestliže toto není Váš případ, upravte konfigurační soubor pomocí nano, pico či vim, nebo změňte hodnotu u proměnné.
Nyní musíme zajistit, aby se nepoužíval soubor s naší originální zónou, ale její šifrovaný ekvivalent.

V našem souboru /etc/bind/named.conf provedeme změnu z:


zone "likarum.eu" {
type master;
file "/etc/bind/mondomaine.eu";
};

na:


zone "likarum.eu" {
type master;
file "/etc/bind/likarum.eu.signed";
};

A nakonec obnovíme službu DNS.


/etc/init.d/named restart


Ověření


Ověříme přítomnost DNSSEC zóny pomocí příkazu: "dig +cd +multi mydomain.eu dnskey"


root@ks34682 named# dig +cd +multi likarum.eu dnskey
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-2.el6_1.P3.3 <<>> +cd +multi likarum.eu dnskey
; global options
+cmd

;; Got answer:
; ->>HEADER<<- opcode
QUERY, status: NOERROR, id: 29910

; flags
qr aa rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0


;; QUESTION SECTION:
;likarum.eu. IN DNSKEY

;; ANSWER SECTION:
likarum.eu. 86400 IN DNSKEY 256 3 8 (
AwEAAbb6xT+KjF3qqeWAkswdlpQ7QW9sm9d9y7vcRJPJ
BUQdDXAtf6cRcJVI4Ql1GoCAhgrmV5/7ZbDrR3T54K+J
WAogmyfVd27uz1FLnlYAZRcLOLqGp8HLztgpwJQdbC8a
jeMx5yhYiH1ea8ZFHlumMwHJSrocgKyWyWGFZDiqRJ8A
xgYFzJDhoSSOnN3lO73NvaOQQnb7wT1BDHSuk+cc5ISS
XclyUUR0WKSeUl5LpGYgY8h4du01Da4z8gT3cS7ftIBD
7cjh0Fl6A+ADNCTiKQqD3j6f9CVCQ0uq87rPez6kyQZP
/pr3TNc6Fgv7L6SpkBR0luQYiVdlz7u77+KdnuM=
) ; key id = 2184
likarum.eu. 86400 IN DNSKEY 257 3 8 (
AwEAAabIfR/5YyblLfcTWSRat0e6LvzAYQ/EqHkvixAf
+/1LoEf/dVr0UPqTTLkhcYM5dIxIT9k35GS51TimTuis
HINBV7TdIy9rCtA4Qf2ih5JJ+M1vsd6HAQjJAFRlJeYV
lsWATet4IU9Zoy0PnU+ksJTdbyj3vlC0TEz5QyaI9N1m
DNVJkuTXuSlgcm6Rx2DVpOI9/cPtQWRYkk3EH4yXxTNR
7jVTF1eRVL4T1orW2DmZPfh+qOmNVL2Dg0gXTlbksHjG
xlZ4nHDzf4KzFxh9skJcVNBUzK/RacsLZyOzT3UAidJA
8gUOtEriO821mf+XmOhEkcAekj6ARjpCwEk+uv0=
) ; key id = 10954

; Query time
1 msec

; SERVER
127.0.0.1#53(127.0.0.1)

; WHEN
Fri Dec 30 16:09:25 2011

; MSG SIZE rcvd
580



CNastavení rodičovské zóny


Již máte funkční oblast DNSSEC, ale aby to bylo naprosto bezpečné, musíme ještě poslat KSK klíč k Vašemu registru.
1) Přes Manažer V3 od OVH si zvolte svoji doménu
2) V levém menu zvolte Domain & DNS, Zabezpečení (DNSSEC), a nakonec Změnit:



Zobrazí se Vám stránka Změna DS domény mydomain.eu :



To nám připomíná, abychom vyplnili pole (Uživatel, Vlajka, Algoritmus a veřejný klíč). Všechny tyto prvky jsou zahrnuty ve Vašem veřejném KSK klíči.

Zde je náš příklad:


root@ks34682 named# cat Klikarum.eu.ksk.key
; This is a key-signing key, keyid 10954, for likarum.eu.
Created
20111226140308 (Mon Dec 26 15:03:08 2011)

Publish
20111226140308 (Mon Dec 26 15:03:08 2011)

Activate
20111226140308 (Mon Dec 26 15:03:08 2011)

likarum.eu. IN DNSKEY 257 3 8 AwEAAabIfR/5YyblLfcTWSRat0e6LvzAYQ/EqHkvixAf+/1LoEf/dVr0 UPqTTLkhcYM5dIxIT9k35GS51TimTuisHINBV7TdIy9rCtA4Qf2ih5JJ +M1vsd6HAQjJAFRlJeYVlsWATet4IU9Zoy0PnU+ksJTdbyj3vlC0TEz5 QyaI9N1mDNVJkuTXuSlgcm6Rx2DVpOI9/cPtQWRYkk3EH4yXxTNR7jVT F1eRVL4T1orW2DmZPfh+qOmNVL2Dg0gXTlbksHjGxlZ4nHDzf4KzFxh9 skJcVNBUzK/RacsLZyOzT3UAidJA8gUOtEriO821mf+XmOhEkcAekj6A RjpCwEk+uv0=


NAlezneme zde:

Vyše ID: 10954
Vaše Vlajka: 257
Algoritmus: 8
A náš klíč: AwEAAabIfR/5YyblLfcTWSRat0e6LvzAYQ/EqHkvixAf+/1LoEf/dVr0 UPqTTLkhcYM5dIxIT9k35GS51TimTuisHINBV7TdIy9rCtA4Qf2ih5JJ +M1vsd6HAQjJAFRlJeYVlsWATet4IU9Zoy0PnU+ksJTdbyj3vlC0TEz5 QyaI9N1mDNVJkuTXuSlgcm6Rx2DVpOI9/cPtQWRYkk3EH4yXxTNR7jVT F1eRVL4T1orW2DmZPfh+qOmNVL2Dg0gXTlbksHjGxlZ4nHDzf4KzFxh9 skJcVNBUzK/RacsLZyOzT3UAidJA8gUOtEriO821mf+XmOhEkcAekj6A RjpCwEk+uv0=

Jakmile dojde k odeslání, OVH se již postará o dokončení a přeposlání přímo registru. Obvykle to trvá 72h, nežli je DS pole dostupné v rodičovské zóně.


Správa Vaší DNSSEC Zóny


Nyní byste měli ovládat správu Vašich klíčů, označení oblasti a zaslání klíčů registru. Zatímco DNS zóna je statická a vyžaduje poměrně malou údržbu, DNSSEC vyžaduje obnovení při každé změně a také jednou za čas díky optimální bezpečnosti.


Úprava záznamu


Musíte:

- Aktualizovat Vaše sériové číslo SOA
- Opětovně podepsat Vaši zónu (dnssec-signzone...)

Rozšířaní platnosti Vašeho podpisu


Musíte:

- Aktualizovat Vaše sériové číslo SOA
- Opětovně podepsat Vaši zónu s aktualizovaným datem (dnssec-signzone-eYYYYMMDDHHMMSS ...)



Nastavení nového ZSK klíče


POZOR:


Musíte:

- Vygenerovat si nový klíč ZSK
- Přidat nový klíč
- Aktualizovat Vaše sériové číslo SOA
- Opětovně podepsat Vaši zónu (dnssec-signzone. ..)


Dosazení nového KSK klíče


POZOR: Nežli ho trvale odstaníte, je potřeba si ponechat Váš starý klíč po dobu 10 dní (doporučená doba).

Musíte:

- Vygenerovat si nový klíč ZSK a KSK
- Přidat nový klíč
- Aktualizovat Vaše sériové číslo SOA
- Opětovně podepsat Vaši zónu (dnssec-signzone. ..)
- "Přenastavit" rodičovskou DNS zónu