untitled

TWISC@NCTU DNSSEC Authoritative Server SOP 易 2.12 TWISC@NCTU 參 李

錄 1.... 1 2.... 2 2.1. UBUNTU APTITUDE BIND... 2 2.2. CENTOS YUM BIND... 2 2.3. FREEBSD PORTS COLLECTION BIND... 2 3.... 4 3.1. BIND... 4 3.2. NAMED.CONF.OPTIONS... 4 3.3. 金... 7 3.4.... 8 3.5.... 9 3.6. 立... 10 3.7.... 11 4.... 12 4.1. RR... 12 4.2. 降 DNS... 14 4.3. DNSSEC 理... 14 5.... 16 5.1.... 16 5.2.... 16 5.3. CENTOS RHEL... 16 5.4. OS... 17 5.5. 狀... 17 5.6. ZONE FILE SLAVE 狀... 18 5.7. 利 SIGCHASE 參數... 19 5.8. DNSSEC... 21

1. SOP BIND DNSSEC authoritative server 流 說 精 不 金 不 nsupdate zone file DNSSEC 不 DLV DS 說 金 理 量 ZSK KSK 金 理 不 理 便 量 2048 bits KSK 不 ZSK 不 金 理 度 European Network of Excellence in Cryptology II 2010 年 3 RSA 2048bits 金 ASIC 10 年來 說 DNSSEC 金 來 Resource Record 理 理 數 金 若讀 DNSSEC authoritative server 行 參

2. 2.1. Ubuntu aptitude BIND Ubuntu 13.04 理 行 令 root@ubuntu:~$ aptitude install bind9 dnsutils 2.2. CentOS yum BIND CentOS 6.2 理 行 令 root@centos:~$ yum install bind rndc rndc.key root@centos:~$ rndc-confgen -a -r /dev/urandom root@centos:~$ chown root:named /etc/rndc.key root@centos:~$ chmod 640 /etc/rndc.key SOP Ubuntu CentOS 料 2.3. FreeBSD Ports Collection BIND FreeBSD 9.0-RELEASE BIND 9.8 列 ports tree dns/bind98 錄切 BIND 9.8 列 # cd /usr/ports/dns/bind98

行 # make config 裡 SSL DNSSEC REPLACE_BASE base system BIND FreeBSD 8.2 BIND 9.6.x SIGCHASE dig DNSSEC 行 # make install clean SOP Ubuntu FreeBSD 料

3. 3.1. BIND Ubuntu 13.04 aptitude BIND CentOS 6.2 理 行 令 # chkconfig named on BIND FreeBSD 9.0-RELEASE /etc/rc.conf # vi /etc/rc.conf named_enable="yes" BIND 3.2. named.conf.options named.conf.options root@ubuntu:~$ vi /etc/bind/named.conf.options

options { directory "/var/cache/bind"; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto; // Authoritative-only Name Server allow-query-cache { none; }; allow-query { any; }; recursion no; // Set Secure Default allow-transfer { none; }; notify yes; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; }; 錄 named.conf.local zone root@ubuntu:~$ vi /etc/bind/named.conf.local example.com 例 master zone "example.com." { type master; auto-dnssec maintain; update-policy local; allow-transfer { slaves_list }; file "/etc/bind/example.com/db.example.com.signed"; key-directory "/etc/bind/example.com"; }; 行 slaves_list 更 slave server 列

auto-dnssec maintainbind 行金 更 update-policy local 參數 named auto-dnssec 更 DNSSEC RRSIG file key-directory zone file DNSSEC 金 路 zone file db.example.com.signed db.example.com 理 db.example.com db.example.com.signed BIND 若 slave zone "example.com." { type slave; masters { masters_list }; allow-transfer { none; }; file "/etc/bind/example.com/db.example.com.signed"; }; 行 masters_list 更 master server 列 zone file 金 料 root@ubuntu:~$ mkdir /etc/bind/example.com master zone file zone file BIND zone filebind zone file root@ubuntu:~$ vi /etc/bind/example.com/db.example.com

db.example.com 例 $TTL 600 @ IN SOA example.com. admin.example.com. ( 1 ; Serial 3600 ; Refresh 600 ; Retry 86400 ; Expire 600 ; Negative Cache TTL ) ; @ IN NS ns.example.com. @ IN NSEC3PARAM 1 0 100 61 ns IN A 127.0.0.1 NSEC3PARAM 來 BIND NSEC3 NSEC3 參數 例 Iteration 100 度 暴力 salt 度 例 salt 61 六 串 (0-F 度 2 數 ) 亂度 3.3. 金 金 理金 master slave 金 令 例 root@ubuntu:~$ dnssec-keygen \ -a NSEC3RSASHA1 \ -b 2048 \ -f KSK \ -r /dev/urandom \ -K /etc/bind/example.com \

example.com 參數說 1) a 金 2) b 金 度 3) f 金 flag 4) r 亂數來 5) K 金 錄 6) Zone name 令 金 兩 Knnnn.+aaa+iiiii key-directory 錄 來 立 3.4. zone 令 root@ubuntu:~$ dnssec-signzone \ -3 61 \ -H 100 \ -K /etc/bind/example.com \ -o example.com \ -S \ -u \ -z \ /etc/bind/example.com/db.example.com 參數說 1) -3NSEC3 salt 2) -HNSEC3 Iteration 3) -K 金 料 4) -o 5) -SSmart signing

6) -u 更 NSEC/NSEC3 7) -z : KSK 來 zone file 8) zone file 令 金 料 金 來 zone file.signed zone file zone file 錄 zone file BIND zone file 3.5. named 行 BIND 不 named 行 不 例來說 若 金 root named bind 來 行 named 行 令更 錄 root@ubuntu:~$ chown -R bind /etc/bind/example.com 令 BIND root@ubuntu:~$ rndc reload dig 來 root@ubuntu:~$ dig +dnssec +multiline -t dnskey example.com. @127.0.0.1 若 DNSKEY RRSIG example.com. 5226 IN DNSKEY 256 3 8 ( AwEAAdNW7YIhcTdqXrzgZjJJ35VjAFT1ArvnhAzXDm7A ugxsqqmgbrmjjvbv0xs4gahb9mj6ekf0dvkoezglmnaj

o8hj2ji7k281yto2r5k3mksc4hocp55hr22r5hispjot 19pv/VdZQfyTzZ96frQ16qRa9+/GSjzjtFfQv16FwE7R ) ; key id = 55231 example.com. 5226 IN DNSKEY 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bsew0o8gccjffvqutf6v58fljwbd0yi0ezracqqbgczh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp oy68lsvpvjr0zswzz1apazvn9dlzehex7icjbbtua6g3 LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ) ; key id = 19036 example.com. 5226 IN RRSIG DNSKEY 8 0 172800 20111025235959 ( 20111011000000 19036. NM23qUtTFHno+V6TVGO5cyohgVZEBLWDMRnI8lv78SWs YJFbBP0xWERfHloiWZhOoONsbXn2QAWbYaR0Iiysu64A hree92lfgdxafyrisrwqjo6loixc7gvorrpwpeng9eua FZEO94Z7SetqGXo4uPwuxQLen14MLOBjE5Hjj+dyuBQk yy4hr2celyuebvr5eosxzhczijfpjro7ldsoxbyfw8v+ o2lw9zu+nqsgiboxlagx0jd/syvcmmctmuz8csvsavfy nj4g5mgk052dqmzfn9u38e+6fuh/upphhdrcujfswi/l ZnfoebROk5+nuk0gJGUSrdPyoCfsiMNbKQ== ) 3.6. 立 錄 金 Hash 念 類 DNS NS 立 DS DLV 兩 DNSSEC DS 串 DNSSEC DNSSEC 不 DLV

DS 3.6.1. DS 錄切 金 錄 令 root@ubuntu:/etc/bind/example.com$ dnssec-dsfromkey Knnnn.+aaa+iiiii Knnnn.+aaa+iiiii 錄 金 料 例來說 料 example.com. IN DS 15631 5 1 3E2C801514374F275A89480AA3997895EC6DBDF9 example.com. IN DS 15631 5 2 5619C75FCABBB34F633DAC3D08BDCEB29D46A3E36EE0E2CC7F 48726A 34C04A45 DS 錄 理 NS 類 令 root@ubuntu:~$ dig +dnssec -t ds example.com 3.7. 若 DNSSEC authoritative server 令 root@ubuntu:~$ dig +dnssec -t soa example.com @dnssec-resolver 裡 DNSSEC authoritative server DNSSEC resolver 來 若 ad flag

4. DNSSEC 若 RR DNSSEC 參 4.1. RR 若 理 zone file 更 1) zone file 2) zone 3) zone file 4) zone file owner 5) zone BIND 裡 zone file db.example.com.signed zone file db.example.com 令 db.example.com.signed 令 1) zone file zone file(db.example.com) 理 DNS 2) zone 行 令

root@ubuntu:~$ rndc freeze 令 zone data(db.example.com.signed) 更 BIND zone data 不 讀 zone file(db.example.com.signed) 來 3) zone file zone 令 root@ubuntu:~$ dnssec-signzone \ -3 61 \ -H 100 \ -K /etc/bind/example.com \ -o example.com \ -S \ -u \ -z \ /etc/bind/example.com/db.example.com zone file (db.example.com) zone file (db.example.com.signed) zone file zone file 3.4 4) zone file owner OS 理 不 說 root 來 行 owner root OS bind 來 bind owner Ubuntu 來說 行 令 root@ubuntu:~$ chown -R bind /etc/bind/example.com

5) zone BIND zone file 復 令 root@ubuntu:~$ rndc thaw 令 理 script 降 理 4.2. 降 DNS DNSSEC 連串金 DNSSEC 不 DNSSEC resolver 不 DNS 若 理 DNSSEC 不 降 DNS resolver DNSSEC 降 DNS DS record DS record 不 DNSSEC resolver 不 金 DS cache DS DS TTL ( 300) 4.3. DNSSEC 理 來說 2048 bit 金 度 暴力 不易

DNSSEC 金 理 DNSSEC 若 4.2 降 DNS 3 金 立 DNSSEC DNSSEC 度不 zone file TTL DNSSEC resolver cache 金 RRSIG 參 更 金 不 DNSSEC 更 金

5. 5.1. 見 BIND 利 令 named-checkconf 來 利 named-checkzone 來 zone file 5.2. 4.2 DS TTL 300 不 resolver cache 5 降 DNS 了 DS RR 300 來 流量 5 來 不 cache 流量 不了 RR DNSKEY RR( SOA www.example.com A record) TTL 降 SOA Negative TTL 300 來 若 resolver query 不 RR 5 了 ntp 來 masterslave resolver 精 5.3. CentOS RHEL CentOS 6.2 RHEL 6.2 nsupdate 令 bug memory dump 不 不 兩 nsupdate 令

精 SOP 令 RHEL 6.2 SOA SOA 參數 master name server FQDN 參數 利 理 不 OS 裡 (FreeBSDUbuntuCentOSRHEL) RHEL 參數 不 Slave 不 RRSIG bug master name server 不 RRSIG 邏 view zone transfer delay RHEL 6.2 理 process 讀 5.4. OS 若 理 Linux SELinux FreeBSD mtree 兩 來 了 讀 BIND 錄 resolver BIND 更 root 金 authoritative server SELinux mtree CPU 5.5. 狀 理 行 SOP 行 漏 易 不 見

DNSSEC resolver BIND 來說 RRSIG RRSIG BIND zone file 若 狀 列兩 1) / 錄 named 行 zone 錄 錄 ( 金 zone file ) SOP 3.5 BIND 不 named 行 不 Ubuntu 來說 named 行 bind 若 zone file 金 root BIND zone file RRSIG 參 SOP 3.5 zone 錄 錄 ( 金 zone file ) owner 更 named 行 2) update-policy local 參數 SOP 3.2 了 auto-dnssec maintain 參數 update-policy local 參數 named DNSSEC RRSIG BIND local 更 auto-dnssec 更 zone file RRSIG 參 SOP 3.2 named.conf.local update-policy local 參數 5.6. Zone file Slave 狀 理 行 SOP 若 slave zone file 狀 列兩

1) / 錄 slave named 行 zone 錄 錄 slave 料 參 SOP 3.5 slave zone 錄 錄 owner 更 named 行 2) master zone file slave NS A SOP master zone file slave 行 master slave zone file NS 錄 slave master zone file slave NS A 5.7. 利 sigchase 參數 root.com.example.com www.example.com dig 令 sigchase 參數 更 sigchase 參數 列 root 錄 錄 1) root DNSKEY sigchase root DNSKEY 令 來 錄 root@ubuntu:~$ dig +nocomments +nostats +nocmd +noquestion -t dnskey. > trusted-key.key

2) 令 root@ubuntu:~$ dig +topdown +sigchase +multiline -t a www.example.com 參數說 +sigchase +topdown root www.example.com 參數 www.example.com root 不 參數 root 若 列 FINISH : we have validate the DNSSEC chain of trust: SUCCESS 若 fail 錄來 裡 topdown 參數 不 root root 兩 來 兩 sigchase 參數 BIND 9.9.1 BIND sigchase 參數 dig 行 不

5.8. DNSSEC 利 BIND dig 令 sigchase 參數來 路裡 sigchase 參數 更 易 DNSSEC 兩 DNSSEC Analyzer DNSViz 來 理 DNSSEC DNSSEC Analyzer DNSViz 更 理 DNSSEC Analyzer http://dnssec-debugger.verisignlabs.com/ 列 1) 度 DNSViz

2) 若 裡 icon 1) 列 DNSViz 不 2) DNSKEY/DS 不 DNSViz DNSViz http://dnsviz.net/

1) 理 2) 滑 DNSKEY/DS icon 1) 度 DNSSEC Analyzer 2) 理 DNSSEC Analyzer