Suivi - Administration système Mettre en place DNSSEC

#875 Posté par . État de l'entrée : ouverte
Tags : aucun
4
19
mar.
2012

Bonjour,

Je propose la mise en place de dnssec pour le domaine linuxfr.

La mise en place est relativement simplifié avec zkt-signer, même si cela n'empêche pas les inconvénients suivants :
- tache cron pour mettre à jour la zsk
- mettre à jour tous les n* années la ksk avec le registrar (et resigner la zone à chaque changement).
n étant défini par l'administrateur de la zone.
- si une merde au niveau de la gestion des clés (ksk/zsk arrivant à expiration et non mise à jour, …) la zone disparait des écrans radars des clients dnssec compatibles.

Apporte les avantages suivants :
- sécurisation du nom de domaine:
- protection contre le cache poisoning.
- protection contre des attaques encore inconnues pouvant modifier les records d'une zone à la volée. (ne protège pas d'une compromission du maitre).
- protection contre des indélicats qui transférerait pas dans les règles de l'art le nom de domaine et essaierait de changer des records (il faut changer la ksk!)
- ca fait quand même plus geek, surtout avec les extensions dnssec pour firefox
- encore plus à la pointe technologique que les google et autres (et on pourra se foutre de la gueule du domaine ms/elysée/maison blanche/… qui n'est pas dnssec).

avec bien entendu un argument auto-suffisant :
- plus de sécurité

Nécessite :
- avoir accès au fichier de zone
- un bind récent (en tout cas pour la méthode décrite en dessous)
- pouvoir modifier la conf de bind, ou à défaut créer/supprimer/modifier les fichiers de zones
- avoir un registrar qui accepte le dnssec (publication de la clée ksk).


Façon de procéder avec zkt-signer:
Récupérer zkt-signer, le compiler et l'installer (préfixe possible) avec les options kivonbien (voir si il n'est pas installé dans les dernières versions de bind, si bind est utilisé).
mettre le fichier de zone dans un répertoire portant le nom de la zone (fichier de zone : zones.db).
Modifier le fichier dnssec.conf si nécessaire.
Créer le fichier zones.db.signed dans les répertoires des zones à signer.
Lancer la commande zkt-signer avec les options voulues. Elle va aller dans les répertoires, voir si il y a le fichier zones.db.signed, si oui, générer les clés si elles n'existent pas, et signer la zone. Si non, ne fait rien.

Une fois le fichier de zone signé, il suffit de
- importer la ksk généré chez son registrar
- dire à bind d'utiliser le fichier zones.db.signed pour la zone en question.

Une fois tout ceci fait, la zone est bien dnssec.
Maintenant il faut rajouter qq taches cron/…
- le script suivant :
http://www.hznet.de/dns/zkt/dnssec-cron
(au moins avant l'expiration de la ksk).
- Une tache envoyant un mail au responsable toutes les n année, avant expiration de la ksk, pour lui demander d'en créer une nouvelle et de la republier (de tête plusieurs ksk peuvent coexister,à vérifier).
- Pour les plus courageux, un script/programme inotify qui détecte quand le fichier de zone a été modifié, le vérifie (named-check-zone) et si il est bon, le resigne automatiquement.

référence:
http://www.hznet.de/dns/zkt/
https://www.iis.se/en/domaner/teknik/introduktion-till-dnssec-och-zkt (a adapter un peu, les noms ayant été modifié, et dnssec-signer ayant été renommé en zkt-signer et mergé dans les utilitaires des bind récent (repris par l'ISC quoi).

Merci de m'avoir lu jusque là.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.