dnssec. objetivo implementar o dnssec no servidor autoritativo para o domínio redes.br. –...
TRANSCRIPT
DNSSEC
Objetivo
• Implementar o DNSSEC no servidor autoritativo para o domínio redes.br.– Assinatura digital das informações da zona.– Utiliza o conceito de chaves assimétricas.– Integridade e autenticidade.
DNSKEY
• É a chave pública de uma zona.
Exemplo de consulta DNSKEY
RRSIG
• É a assinatura de um RRset específico com uma determinada chave (DNSKEY).
• RRset é o conjunto de registros de uma zona.
DS – Delegação Signer
• O Record DS forma uma cadeia de confianca.• Esta garante a autenticidade das delegações
de uma zona até um ponto de confiança (uma chave ancorada).
Funcionamento
• RRsets são assinados com a chave privada da zona, gerando os RRSIGs.
• A chave pública é usada para verificar a assinatura dos RRsets.
• A autenticidade da chave é verificada pelo registro DS assinado na zona PAI.
DS – Delegação Signer
• Representa um hash de um registro DNSKEY.• Indica:– Que a zona delegada está assinada.– Qual a chave usada na zona delegada.
• A zona PAI possui autoridade pelo registro DS das zonas delegadas.
• O registro DS não deve aparecer no FILHO.
Gerando as chaves
• Antes de poder assinar a zona redes.br, devemos gerar o par de chaves (pública e privada).
• Para isso usamos o comando abaixo, mas antes, crie um diretório para armazená-las.
mkdir chaves cd chaves
dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b 1024 -n ZONE redes.br
• O comando irá gerar dois arquivos com extensões .key e .private.
Argumentos
-r Especifica a origem da semente randômica.-f Configura o flag que foi especificado no campo flag da chave pública incluida na zona (DNSKEY).-a Seleciona o algoritmo de criptografia.-b A quantidade de bits da chave.-n Especifica o tipo de chave. Em nosso caso, iremos gerar uma chave para assinar uma zona.
Adicionando a chave pública para a zona
• Para isto podemos usar o comando cat.
cat chaves/*.key >> redes.br.direto
Assinando a zona
• Use o comando:
dnssec-signzone –S –z –o redes.br redes.br.direto
• O comando irá gerar um novo arquivo de zona com a extensão .signed.
• Seu período de validade é de 30 dias.
Named.conf
• Altere a referência para o arquivo de zona que passa a ser redes.br.direto.signed.