Chave de assinatura de zona DNSSEC (ZSK)

Navegue suas respostas
1

Recebi a tarefa de investigar a implementação do DNSSEC em nossos servidores de nomes. Embora o lado técnico disso (gerar chaves, assinar zonas, preparar sobreposições) seja relativamente simples, enfrentei um problema logístico. Estou procurando executar diferentes implementações de DNSSEC em diferentes servidores de nomes.

A chave de assinatura de zona DNSSEC (ZSK) precisa ser a mesma em todos os servidores de nomes? Em caso afirmativo, por que?

    
por BATTLEfRAME 02.01.2018 / 03:32

2 respostas

1

Se você quer dizer em todos os servidores de nomes autorizados para uma determinada zona, então eles precisam compartilhar as chaves, já que eles são publicados como registros DNSKEY, que serão usados por clientes de validação recursiva para verificar as assinaturas.

Agora, o servidor de nomes A poderia publicar DNSKEY do ZSK A +, todos os RRSIG feitos com o ZSK A e o servidor de nomes B poderia ter ZSK B +, todos os RRSIG feitos com o ZSK B. E cada um com DNSKEY do KSK e o RRSIG com o KSK do ZSK relevante.

O DNSSEC para validar um servidor de nomes precisa encontrar pelo menos um caminho correto de chaves e assinaturas. Então, teoricamente, um servidor de nomes recursivo, atingindo apenas nameserverA e recuperando todos os registros de lá, poderia obter tudo o que precisa para validar os registros. O mesmo acontece se atingir somente nameserverB.

O problema, porém, é com a parte somente e o fato de que as coisas são armazenadas em cache e que os servidores de nomes recursivos não "bloqueiam" a um servidor de nomes autoritativo, mas alternam dependendo de vários algoritmos. O servidor de nomes de resolução pode ter em seu cache uma mistura de dados com, por exemplo, DNSKEY A e RRSIG de B. Então, a validação falhará.

Então, em resumo, eu ficaria muito surpreso se isso funcionasse de forma confiável.

Isso é discutido em detalhes neste documento: link Ele tenta ver como um nome de domínio pode usar mais de um provedor de DNS ao mesmo tempo para resolução, mas ainda tem gerenciamento de DNSSEC adequado, com vários cenários dependendo de quem efetua a assinatura.

Você pode testar isso, mas, como Håkan disse, parece que você tem outro problema antes de chegar a esse problema.

    
por 07.01.2018 / 20:35
0

Do DNSSEC Zone Signing Key (ZSK) need to be the same on all Name Servers? If so why?

Chaves de assinatura de zona (ZSK) e chaves de assinatura de chave (KSK) não precisam estar em nenhum dos servidores de nomes.

Pelo design do DNSSEC, um servidor de nomes pode responder a consultas com registros pré-assinados, incluindo novos registros para provar a negação de existência de um registro consultado.

Os ZSKs simplesmente precisam ser possuídos por qualquer host que pretenda assinar os arquivos de zona, o resto dos servidores de nomes simplesmente precisam de uma cópia da nova zona assinada, que pode ser passada através de configurações servidor-nome mestre-escravo.

Uma configuração simples pode ter os ZSKs no servidor de nomes principal. Os servidores de nome escravo não têm uma razão para saber os ZSKs se eles não estão assinando zonas.

Editar: Como Håkan Lindqvist mencionou, tecnicamente os ZSKs e KSKs estão em todos os servidores de nomes, no entanto, somente a parte pública da chave na forma de registros DNSKEY no arquivo de zona pré-assinado. Quando me referi a KSKs e ZSKs acima, eu quis dizer as partes privadas das chaves que devem ser mantidas em segredo.

    
por 06.01.2018 / 15:12

Tags

O que é o firewall-cmd para configurar o iptables para descartar transmissões de NetBIOS? Como integrar um servidor de VM remoto com todas as VMs à LAN no local