Jak zabezpieczyć domeny przez DNSSEC pod Ubuntu/Debian oraz IspConfig3

Przeglądając w internecie różne strony i fora zauważyłem, że co jakiś czas ktoś ma problem z tym, jak zabezpieczyć swoje domeny przez DNSSEC, także dostałem kilka maili w tej sprawie na przestrzeni ostatniego pół roku z zapytaniem, jak to zrobić poprawnie. DNSSEC jest kolejnym elementem, dzięki któremu możemy poprawić bezpieczeństwo na naszym serwerze DNS, i który na pewno warto wdrożyć. DNSSEC pozwala na potwierdzenie autentyczności odpowiedzi serwera DNS, a działa to w ten sposób, że jeśli przeglądarka internetowa wysyła zapytanie do serwera, to wraca on wynik z kluczem uwierzytelniającym, który potwierdza, że dany adres IP jest poprawny. Jeśli ktoś próbuje zmienić tabelę zawartą na serwerze DNS, to odrzuca on wtedy takie zapytanie.

Najprostszym sposobem na wdrożenie DNSSEC jest instalacja Haveged i użycie IspConfig3. Haveged instalujemy poleceniem

apt-get install haveged

Jeśli korzystasz z innych dystrybucji linuksa niż Debian, czy Ubuntu, powinieneś dostosować instalację do własnej dystrybucji. Haveged pozwala na zwiększenie entropii, aby móc wygenerować odpowiednie, potrzebne nam klucze (przy niskiej entropii – poniżej 300, klucze nie zostaną wygenerowane). Jeżeli korzystasz z panelu IspConfig3 (od wersji 3.1), to po instalacji Haveged cała procedura uruchomienia DNSSEC sprowadza się do zaznaczenia odpowiedniej opcji w konfiguracji DNS dla danej domeny, w wyniku tego wygenerowana zostanie odpowiednia para kluczy i dokonane zostaną odpowiednie wpisy na serwerze DNS.

entropy-day Jak zabezpieczyć domeny przez DNSSEC pod Ubuntu/Debian oraz IspConfig3
Wzrost entropii po zainstalowaniu Haveged

Jeżeli nie używasz IspConfig3, proponuję odwiedzić stronę domową Haveged pod adresem http://www.issihosts.com/haveged/ i tam szukać informacji o tym jak wygenerować klucze i odpowiednie wpisy ręcznie, ewentualnie w internecie o tym jak spiąć go z Twoim panelem zarządzania (Cpanel, DirectAdmin itp.)

Kolejnym krokiem, jest utworzenie rekordu DS dla domen-domeny, dla kluczy KSK u rejestratora domeny. Jak to zrobić, zależy od samego rejestratora domeny, jednak do tego celu potrzebne Ci będą takie dane jak Key-Tag, Flag, Algorytm (algorytm za pomocą którego wygenerowane zostały klucze) oraz sam klucz KSK. Wszystkie te dane uzyskasz po wydaniu w konsoli na swoim serwerze polecenia

dig +cd +multi twojadomena.pl dnskey

gdzie twojadomena.pl, to oczywiście adres twojej domeny.

UWAGA: Jeśli Twoja domena kieruje na serwery DNS CloudFlare, to klucze generujesz w panelu CloudFlare włączając odpowiednią opcje pod strefami DNS. Po włączeniu DNSSEC pokażą się wszystkie parametry jakie będziesz potrzebował do skonfigurowania strefy DS u rejestratora domeny.

Poprawność wdrożenia DNSSEC dla domeny sprawdzić możesz pod adresem http://dnssec-debugger.verisignlabs.com

Dodaj komentarz

ten − 5 =