Você está na página 1de 5

01/04/2015

CERT.Bahia

01/04/2015 CERT.Bahia SobreoCERT.Bahia Buscar: NotificarIncidente I r Estatísticas Contato Menu PáginaInicial

Buscar:

Ir

Menu

Menu PáginaInicial AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua

Eventos

PáginaInicial AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona
PáginaInicial AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona
PáginaInicial AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona

Parceiros

AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona Introdução
AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona Introdução
AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona Introdução
AlertaseDicas Ferramentas Eventos Eventos Parceiros TutorialparaimplantaçãodeDNSSECemsua zona Introdução

TutorialparaimplantaçãodeDNSSECemsua

zona

IntroduçãoParceiros TutorialparaimplantaçãodeDNSSECemsua zona Pré­requisitos Passosparaconfiguração

Pré­requisitosTutorialparaimplantaçãodeDNSSECemsua zona Introdução Passosparaconfiguração Configuraçãodobind

Passosparaconfiguraçãozona Introdução Pré­requisitos Configuraçãodobind DivulgandoachavepúblicadaKSK

Configuraçãodobindzona Introdução Pré­requisitos Passosparaconfiguração DivulgandoachavepúblicadaKSK GerênciadaschavesDNSSEC

DivulgandoachavepúblicadaKSK

GerênciadaschavesDNSSEC

DocumentosrelacionadosDivulgandoachavepúblicadaKSK GerênciadaschavesDNSSEC Introdução Essetutorial

Introdução

Essetutorial descreveospassosparaimplantaçãodoDNSSECem umazonaDNS. A parte conceitual dessa tecnologia não será abordada aqui. Para mais informações sobre o funcionamentodoDNSSEC,favorconsultarProjetodeimplementaçãodeDNSSECnoPOP­ BA.

Pré­requisitos

Vamos supor algumas configurações iniciais para implantação do DNSSEC. Essas configuraçõessãolistadasaseguir:

ServidordeNomesutilizado:bind9

ZonaemqueseestáimplantandoDNSSEC: exemplo‐dnssec.br.

Localizaçãodosarquivosdeconfiguração:

named.conf­> /etc/bind/named.conf /etc/bind/named.conf

Arquivodezonade exemplo‐dnssec.br. ­> /etc/bind/var/exemplo‐dnssec.zone exemplo‐dnssec.br. ­> /etc/bind/var/exemplo‐dnssec.zone

DiretórioparachavesDNSSEC­> /etc/bind/keys

O arquivo de zona para exemplo‐dnssec.br. (/etc/bind/var/exemplo‐dnssec.zone) inicialmente

contémoseguinte:

$TTL 86400 ; 1 day $ORIGIN exemplo-dnssec.br.

@

IN SOA ns1.exemplo-dnssec.br. hostmaster.exem

2005032902

; serial

10800

; refresh (3 hours)

15

; retry (15 seconds)

604800

; expire (1 week)

10800

; minimum (3 hours)

)

IN NS ns1.exemplo-dnssec.br. IN MX 10 mail.exemplo-dnssec.br.

ns1

IN A 192.168.2.6

www

IN A 10.1.2.1

mail

IN A 172.16.2.1 IN A 192.168.2.3

01/04/2015

CERT.Bahia

01/04/2015 CERT.Bahia Aconfiguraçãoinicialdo /etc/bind/named.conf éaseguinte(somenteaparteimportante): zone

Aconfiguraçãoinicialdo /etc/bind/named.conf éaseguinte(somenteaparteimportante):

zone "exemplo-dnssec.br" { type master; file "/etc/bind/var/exemplo-dnssec.zone";

};

Passosparaconfiguração

Configuraçãodobind

Antesmesmodeiniciarqualquerconfiguração,oprimeiropassoparaimplantaçãodoDNSSEC

em uma zona é definir a política de gerenciamento de chaves. É nessa política que será definido o tamanho da KSK e ZSK, duração das chaves, dentre outros detalhes. Recomendamos a leitura da Política de publicação e administração de chaves DNSSEC do POP­BA para uma visão geral e exemplo de tal documento. A configuração abaixo usará a política acima para escolha dos parâmetros de configuração (tamanho da chave, algoritmos, etc.).

Primeiro geramosa chave KSK, que será usada somente para assinatura dosregistros DNSKEY.de configuração (tamanho da chave, algoritmos, etc.). # mkdir­p/etc/bind/keys # cd/etc/bind/keys #

#mkdir­p/etc/bind/keys #cd/etc/bind/keys # dnssec­keygen ­a rsasha1 ­b 1280 ­f KSK ­r /dev/urandom exemplo­ dnssec.br

Kexemplo­dnssec.br.+005+50148

A chave gerada está em dois arquivos: Kexemplo‐dnssec.br.+005+50148.key e Kexemplo‐

dnssec.br.+005+50148.private.Oprimeiroéachavepública,quedeveráserincluídonazonalogo

abaixo,osegundoéachaveprivadaquedevesermantidadeformaseguranoservidor.

Emseguida,geramosachaveZSK,queseráusadasomenteparaassinaturadosdemais

registrosdazona(comexceçãodaDNSKEY,assinadapelaKSK).

#cd/etc/bind/keys

#dnssec­keygen­arsasha1­b1152­r/dev/urandomexemplo­dnssec.br

Kexemplo­dnssec.br.+005+39539

A chave gerada está em dois arquivos: Kexemplo‐dnssec.br.+005+39539.key e Kexemplo‐

dnssec.br.+005+39539.private.Oprimeiroéachavepública,quedeveráserincluídonazonalogo

abaixo,osegundoéachaveprivadaquedevesermantidadeformaseguranoservidor.

Recomenda­se manter uma planilha de controle com as informações sobre as chaves geradas.Issoseráimportante,porexemplo,noprocedimentodetrocadechaves . procedimentodetrocadechaves.

Umavezqueaschavesjáforamgeradas,émomentodeincluí­lasnoarquivodazona.A chave que será inclusa é a chave pública, tando da KSK quando da ZSK. O exemplo abaixomostraoarquivodezonainicialalteradoparainclusãodaschavesgeradas.

$TTL 86400 ; 1 day

01/04/2015

CERT.Bahia

$ORIGIN exemplo-dnssec.br.

 

@

IN SOA ns1.exemplo-dnssec.br. hostmaster.exem

 

2005032902

; serial

10800

; refresh (3 hours)

 

15

; retry (15 seconds)

604800

; expire (1 week)

10800

; minimum (3 hours)

)

 

IN NS ns1.exemplo-dnssec.br. IN MX 10 mail.exemplo-dnssec.br.

 

$INCLUDE /etc/bind/keys/Kexemplo-dnssec.br.+005+50148.key $INCLUDE /etc/bind/keys/Kexemplo-dnssec.br.+005+39539.key

ns1

IN A 192.168.2.6 IN A 10.1.2.1 IN A 172.16.2.1 IN A 192.168.2.3

 

www

mail

       
       

Lembre­sedeatualizaroSerialdazonadepoisdainclusãodaschaves.

Antesdeassinarazona,vamoschecarsenossaalteraçãocontémalgumproblema.Para

isso,vamosusarocomandonamed­checkzonecomoilustradoabaixo:

named-checkzone exemplo-dnssec.br /etc/bind/var/exemplo-dnssec.zone
named-checkzone exemplo-dnssec.br /etc/bind/var/exemplo-dnssec.zone

Agoraprecisamosassinaroarquivodezona.Oprocedimentodeassinaturaconsistemem ordenar o arquivo da zona, gerar os registros NSEC, e assinar os RRsets da zona. O comando abaixo realiza essas atividades (a contra­barra apenas indica que o comando acimadeveriaconterapenasumalinha):

dnssec-signzone -K /etc/bind/keys -o exemplo-dnssec.br -g
dnssec-signzone -K /etc/bind/keys -o exemplo-dnssec.br -g

Osparâmetrosacimasãoosseguintes:

­K /etc/bind/keys informa qual o diretório que contém os arquivos das chaves (públicas e privadas)KSKeZSK,nessecaso /etc/bind/keys.

­oexemplo­dnssec.bréonomedazona,nessecaso exemplo‐dnssec.br

­g é um parâmetro usado para gerar o arquivo dsset que contém o registro DS para possivelmenteseradicionadoàzonaparent.Veremoscommaisdetalhesaimportânciadesse parâmetromaisabaixo.Apósaexecuçãodocomandoacimacomesseparâmetro,serágerado umarquivo dsset‐exemplo‐dnssec.br. nodiretóriocorrente;

­téumparâmetroparagerarestatísticassobreaassinaturadazona; ­kKSK_KEYinformaqualachaveKSKparaassinaturadoDNSKEY; /etc/bind/var/exemplo­dnssec.zoneéoarquivodezona(parâmetroobrigatório); ZSK_KEY é a chave ZSK usada na assinatura dos outros registros da zona (parâmetro obrigatório).

Ocomandoacimadevetergeradoumaversãoassinadadoarquivodezona,quedeveestarem /etc/bind/var/exemplo‐dnssec.zone.signed. Essa versão é que deverá ser usada pelo bind para

proverinformaçõessobreazona,conformeconfiguraremosnopassoaseguir.

Agora precisaremos alterar a configuração do bind para

Agora precisaremos alterar a configuração do bind para utilizar a versão assinada do arquivodezona(geradonopassoacima).Paraisso,editeoarquivonamed.confedeixe­o comoaseguir(vejaaversãoanteriornaseçãodepré­requisitosdestetutorial).

01/04/2015

CERT.Bahia

zone "exemplo-dnssec.br" { type master; file "/etc/bind/var/exemplo-dnssec.zone.signed";

};

Precisamosrecarregarodaemondobindparaqueelereconheçaessanovaconfiguração.

Paratal:

/etc/init.d/bind9restart

Issofinalizaaconfiguraçãodoservidor. Agoraprecisaremosdivulgardealgumaformaa chavepúblicadenossaKSK.Aseçãoaseguirdetalhaessepasso.

DivulgandoachavepúblicadaKSK

UmadiscussãodetalhadadasformasdedivulgaçãodachavepúblicaKSKestádisponívelem ProjetodeimplementaçãodeDNSSECnoPOP­BA, seçãoCanal deconfiançanahierarquia DNS.Nestaseçãoseremosbastanteobjetivosquandoaométodoutilizado.

Como a zona parent de nosso exemplo (a zona br.) já possui DNSSEC implantado, vamos

simplesmente solicitar a inclusão do registro DS na zona parent. Esse é o método mais recomendado para garantia da cadeia de confiança, logo sempre que possível utilize esse método(paraclientesdoPOP­BA,diretamenteabaixodazona br. sempreserápossívelusar

anterior).Casoseudomínioestejaabaixodeoutrazonaquenãoa br.,envieume­mailparao

administradordazonaparasabercomoproceder.

OBS: Casoazonaparent deseudomínionãotenhasuporteàDNSSEC, vocêteráqueusar outro método de divulgação da chave pública, por exemplo, divulgando sua chave em um servidor DLV. Caso isso seja realmente necessário, recomendamos usar o DLV da ISC:

GerênciadaschavesDNSSEC

ComodiscutidonoProjetodeimplementaçãodeDNSSECnoPOP­BA,seçãoManutençãode zonasegura,aschavesdevemsertrocadascomalgumafrequência.Essafrequênciadepende dapolíticadecadadomínio. Dequalquerforma, éinteressantemanterem local seguro(por exemplo na Intranet de sua instituição) uma planilha que liste as chaves que estão sendo usadas, além de informaçõessobre a data de utilização (criação e troca). Veja um exemplo aqui.

Ainda, configure duas rotinas em seu servidor de gerência para enviar e­mails quando tiver próximoaoperíododetrocadaschaves:

Ume­mailparaatrocadachaveKSK

Ume­mailparaatrocadachaveZSK

Documentosrelacionados

01/04/2015

CERT.Bahia