Carregar apresentação
A apresentação está carregando. Por favor, espere
1
DNSSEC
2
Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. Assinatura digital das informações da zona. Utiliza o conceito de chaves assimétricas. Integridade e autenticidade.
3
DNSKEY É a chave pública de uma zona.
4
Exemplo de consulta DNSKEY
5
RRSIG É a assinatura de um RRset específico com uma determinada chave (DNSKEY). RRset é o conjunto de registros de uma zona.
6
DS – Delegação Signer O Record DS forma uma cadeia de confianca.
Esta garante a autenticidade das delegações de uma zona até um ponto de confiança (uma chave ancorada).
7
Funcionamento RRsets são assinados com a chave privada da zona, gerando os RRSIGs. A chave pública é usada para verificar a assinatura dos RRsets. A autenticidade da chave é verificada pelo registro DS assinado na zona PAI.
8
DS – Delegação Signer Representa um hash de um registro DNSKEY.
Indica: Que a zona delegada está assinada. Qual a chave usada na zona delegada. A zona PAI possui autoridade pelo registro DS das zonas delegadas. O registro DS não deve aparecer no FILHO.
9
Gerando as chaves Antes de poder assinar a zona redes.br, devemos gerar o par de chaves (pública e privada). Para isso usamos o comando abaixo, mas antes, crie um diretório para armazená-las. mkdir chaves cd chaves dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b n ZONE redes.br O comando irá gerar dois arquivos com extensões .key e .private.
10
Argumentos -r Especifica a origem da semente randômica. -f Configura o flag que foi especificado no campo flag da chave pública incluida na zona (DNSKEY). -a Seleciona o algoritmo de criptografia. -b A quantidade de bits da chave. -n Especifica o tipo de chave. Em nosso caso, iremos gerar uma chave para assinar uma zona.
11
Adicionando a chave pública para a zona
Para isto podemos usar o comando cat. cat chaves/*.key >> redes.br.direto
12
dnssec-signzone –S –z –o redes.br redes.br.direto
Assinando a zona Use o comando: dnssec-signzone –S –z –o redes.br redes.br.direto O comando irá gerar um novo arquivo de zona com a extensão .signed. Seu período de validade é de 30 dias.
13
Named.conf Altere a referência para o arquivo de zona que passa a ser redes.br.direto.signed.
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.