registros SSHFP no servidor DNS do Windows

Question

registros SSHFP no servidor DNS do Windows

#1 resposta do (3 votos)
#2 resposta do (2 votos)

2

Como posso adicionar registros SSHFP (ou registros arbitrários) no Windows DNS Server?

Estou executando um controlador de domínio com o Windows 2012 R2 e gostaria de colocar as chaves SSH dos servidores Unix no DNS.

windows-server-2012-r2 windows-dns

por Vinícius Ferrão 14.03.2015 / 01:29

2 respostas

Tags windows-server-2012-r2 windows-dns

Como monitorar a qualidade do link não confiável ao longo do tempo? Spamassassin está em conflito com postifx

score 3 · Answer 1

Como foi observado em outra resposta, nenhuma das ferramentas da Microsoft para MSDNS ( dnsmgmt.msc , dnscmd , Add-DnsServerResourceRecord ) parece ter a capacidade de adicionar um registro SSHFP .

Além disso, essas ferramentas também não parecem ter a capacidade de adicionar registros de tipos arbitrários usando o formato de registro opaco genérico padronizado (ou seja, type<typeno> # <length> <hexencodedRRdata> ).

No entanto, o MSDNS suporta o protocolo de atualização dinâmica, algo que realmente torna possível adicionar SSHFP records a zonas hospedadas MSDNS!

Embora a adição do registro funcione e o registro seja questionável posteriormente, sugiro cautela, pois você provavelmente está em território não testado. Isso pode não ser adequado para uso em produção.

Estes passos iniciais podem ser feitos através do método que preferir ( dnsmgmt.msc funciona bem, por exemplo):

Assegure-se de que a zona relevante esteja assinada ou, de outra forma, habilite a assinatura (você desejará ler o DNSSEC se ainda não estiver familiarizado)
Ativar atualizações dinâmicas para a zona relevante

Em seguida, use as ferramentas normais nsupdate e dig de BIND :

C:\Users\Administrator\Downloads\BIND9.10.2.x64>nsupdate
> server localhost
> zone example.com
> update add foo.example.com 3600  IN  SSHFP  2 1 CC17F14DA60CF38E809FE58B10D0F22680D59D08
> send
>

E para verificar se o registro existe:

C:\Users\Administrator\Downloads\BIND9.10.2.x64>dig @localhost foo.example.com sshfp +dnssec

; <<>> DiG 9.10.2 <<>> @localhost foo.example.com sshfp +dnssec
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53553
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4000
;; QUESTION SECTION:
;foo.example.com.               IN      SSHFP

;; ANSWER SECTION:
foo.example.com.        3600    IN      SSHFP   2 1 CC17F14DA60CF38E809FE58B10D0F22680D59D08
foo.example.com.        3600    IN      RRSIG   SSHFP 8 3 3600 20150426201836 20150416191836 46761 example.com. rO98HgBwZSCdsHIf/svgKV+ShLGDonandqrRE1Fe0RdhiJiK
S/B0c28g vFCVijPqDBhxbCsY/OBh5AsF/LpZMZjE5erIIliq6E8yIlPMyiN+MabQ Sxm8Pwfo9V/GeiG7MlmgBOArHp+rYWhA2X3GFpzb9xTiequppbB1GMao iz8=

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Apr 16 20:32:45 Coordinated Universal Time 2015
;; MSG SIZE  rcvd: 249


C:\Users\Administrator\Downloads\BIND9.10.2.x64>

score 2 · Answer 2

Em breve: SSHFP não está disponível e também estou aguardando .

Explicação:

O servidor DNS do Windows tem opções muito limitadas de RRType para impedir que você adicione dados incompatíveis. Embora a GUI tenha campos específicos para cada parte do registro, alguns deles como menus suspensos, também dnscmd /RecordAdd e o cmdlet do PowerShell Add-DnsServerResourceRecord tem as mesmas limitações para RRType s e seus dados.

RRType está atualmente limitado a

Com base em RFC A , AAAA , AFSDB , CNAME , DHCID , DNAME , HINFO , ISDN , MX , NS , PTR , RP , RT , SRV , TXT , WKS & %código%
Específicos do Windows X25 , WINS & WINSR .
Os tipos de registro relacionados ao DNSSEC são criados automaticamente durante a assinatura, portanto, indisponíveis.

O futuro futuro ATMA type teria, portanto, três parâmetros de acordo com RFC4255 :

dnscmd /RecordAdd <Zone> <NodeName> SSHFP <Algorithm> <FP type> <Fingerprint>

Se SSHFP RRType se tornar disponível, como Andrew B mencionou, primeiro você deverá atender a duas condições:

Você deve ter a zona DNSSEC e o registro SSHFP deve ser assinado. Caso contrário, isso não melhorará sua segurança.
A biblioteca de resolução da máquina que executa o SSH deve ter SSHFP extensões ativadas.

Portanto, a primeira pergunta a ser feita é como habilitar o DNSSEC no servidor Windows. É bom que você tenha o Windows Server 2012 R2, já que o suporte em 2008 R2 estava limitado à assinatura offline de zonas estáticas e não suportava EDNS0 e NSEC3 .

Como essa pergunta não era sobre DNSSEC no Windows Server em geral, só deixarei este artigo prático do TechNet como lição de casa: Step-by-Step: Demonstre o DNSSEC em um laboratório de testes