A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

DNSSEC. Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. – Assinatura digital das informações da zona. – Utiliza o conceito.

Apresentações semelhantes


Apresentação em tema: "DNSSEC. Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. – Assinatura digital das informações da zona. – Utiliza o conceito."— Transcrição da apresentação:

1 DNSSEC

2 Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. – Assinatura digital das informações da zona. – Utiliza o conceito de chaves assimétricas. – Integridade e autenticidade.

3 DNSKEY É a chave pública de uma zona.

4 Exemplo de consulta DNSKEY

5 RRSIG É a assinatura de um RRset específico com uma determinada chave (DNSKEY). RRset é o conjunto de registros de uma zona.

6 DS – Delegação Signer O Record DS forma uma cadeia de confianca. Esta garante a autenticidade das delegações de uma zona até um ponto de confiança (uma chave ancorada).

7 Funcionamento RRsets são assinados com a chave privada da zona, gerando os RRSIGs. A chave pública é usada para verificar a assinatura dos RRsets. A autenticidade da chave é verificada pelo registro DS assinado na zona PAI.

8 DS – Delegação Signer Representa um hash de um registro DNSKEY. Indica: – Que a zona delegada está assinada. – Qual a chave usada na zona delegada. A zona PAI possui autoridade pelo registro DS das zonas delegadas. O registro DS não deve aparecer no FILHO.

9 Gerando as chaves Antes de poder assinar a zona redes.br, devemos gerar o par de chaves (pública e privada). Para isso usamos o comando abaixo, mas antes, crie um diretório para armazená-las. mkdir chaves cd chaves dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b n ZONE redes.br O comando irá gerar dois arquivos com extensões.key e.private.

10 Argumentos -r Especifica a origem da semente randômica. -f Configura o flag que foi especificado no campo flag da chave pública incluida na zona (DNSKEY). -a Seleciona o algoritmo de criptografia. -b A quantidade de bits da chave. -n Especifica o tipo de chave. Em nosso caso, iremos gerar uma chave para assinar uma zona.

11 Adicionando a chave pública para a zona Para isto podemos usar o comando cat. cat chaves/*.key >> redes.br.direto

12 Assinando a zona Use o comando: dnssec-signzone –S –z –o redes.br redes.br.direto O comando irá gerar um novo arquivo de zona com a extensão.signed. Seu período de validade é de 30 dias.

13 Named.conf Altere a referência para o arquivo de zona que passa a ser redes.br.direto.signed.


Carregar ppt "DNSSEC. Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. – Assinatura digital das informações da zona. – Utiliza o conceito."

Apresentações semelhantes


Anúncios Google