1 / 13

DNSSEC

DNSSEC. Objetivo. Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. Assinatura digital das informações da zona. Utiliza o conceito de chaves assimétricas. Integridade e autenticidade. DNSKEY. É a chave pública de uma zona. Exemplo de consulta DNSKEY. RRSIG.

callum-kramer
Download Presentation

DNSSEC

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DNSSEC

  2. Objetivo • Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. • Assinatura digital das informações da zona. • Utiliza o conceito de chaves assimétricas. • Integridade e autenticidade.

  3. DNSKEY • É a chave pública de uma zona.

  4. Exemplo de consulta DNSKEY

  5. RRSIG • É a assinatura de um RRset específico com uma determinada chave (DNSKEY). • RRset é o conjunto de registros de uma zona.

  6. DS – Delegação Signer • O Record DS forma uma cadeia de confianca. • Esta garante a autenticidade das delegações de uma zona até um ponto de confiança (uma chave ancorada).

  7. Funcionamento • RRsets são assinados com a chave privada da zona, gerando os RRSIGs. • A chave pública é usada para verificar a assinatura dos RRsets. • A autenticidade da chave é verificada pelo registro DS assinado na zona PAI.

  8. DS – Delegação Signer • Representa um hash de um registro DNSKEY. • Indica: • Que a zona delegada está assinada. • Qual a chave usada na zona delegada. • A zona PAI possui autoridade pelo registro DS das zonas delegadas. • O registro DS não deve aparecer no FILHO.

  9. Gerando as chaves • Antes de poder assinar a zona redes.br, devemos gerar o par de chaves (pública e privada). • Para isso usamos o comando abaixo, mas antes, crie um diretório para armazená-las. mkdir chaves cd chaves dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b 1024 -n ZONE redes.br • O comando irá gerar dois arquivos com extensões .key e .private.

  10. Argumentos -r Especifica a origem da semente randômica. -f Configura o flag que foi especificado no campo flag da chave pública incluida na zona (DNSKEY). -a Seleciona o algoritmo de criptografia. -b A quantidade de bits da chave. -n Especifica o tipo de chave. Em nosso caso, iremos gerar uma chave para assinar uma zona.

  11. Adicionando a chave pública para a zona • Para isto podemos usar o comando cat. cat chaves/*.key >> redes.br.direto

  12. Assinando a zona • Use o comando: dnssec-signzone –S –z –o redes.br redes.br.direto • O comando irá gerar um novo arquivo de zona com a extensão .signed. • Seu período de validade é de 30 dias.

  13. Named.conf • Altere a referência para o arquivo de zona que passa a ser redes.br.direto.signed.

More Related