DNSSEC
Objetivo Implementar o DNSSEC no servidor autoritativo para o domínio redes.br. Assinatura digital das informações da zona. Utiliza o conceito de chaves assimétricas. Integridade e autenticidade.
DNSKEY É a chave pública de uma zona.
Exemplo de consulta DNSKEY
RRSIG É a assinatura de um RRset específico com uma determinada chave (DNSKEY). RRset é o conjunto de registros de uma zona.
DS – Delegação Signer O Record DS forma uma cadeia de confianca. Esta garante a autenticidade das delegações de uma zona até um ponto de confiança (uma chave ancorada).
Funcionamento RRsets são assinados com a chave privada da zona, gerando os RRSIGs. A chave pública é usada para verificar a assinatura dos RRsets. A autenticidade da chave é verificada pelo registro DS assinado na zona PAI.
DS – Delegação Signer Representa um hash de um registro DNSKEY. Indica: Que a zona delegada está assinada. Qual a chave usada na zona delegada. A zona PAI possui autoridade pelo registro DS das zonas delegadas. O registro DS não deve aparecer no FILHO.
Gerando as chaves Antes de poder assinar a zona redes.br, devemos gerar o par de chaves (pública e privada). Para isso usamos o comando abaixo, mas antes, crie um diretório para armazená-las. mkdir chaves cd chaves dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b 1024 -n ZONE redes.br O comando irá gerar dois arquivos com extensões .key e .private.
Argumentos -r Especifica a origem da semente randômica. -f Configura o flag que foi especificado no campo flag da chave pública incluida na zona (DNSKEY). -a Seleciona o algoritmo de criptografia. -b A quantidade de bits da chave. -n Especifica o tipo de chave. Em nosso caso, iremos gerar uma chave para assinar uma zona.
Adicionando a chave pública para a zona Para isto podemos usar o comando cat. cat chaves/*.key >> redes.br.direto
dnssec-signzone –S –z –o redes.br redes.br.direto Assinando a zona Use o comando: dnssec-signzone –S –z –o redes.br redes.br.direto O comando irá gerar um novo arquivo de zona com a extensão .signed. Seu período de validade é de 30 dias.
Named.conf Altere a referência para o arquivo de zona que passa a ser redes.br.direto.signed.