Update auf Debian 9 mit OpenDNSSEC

13. September 2017 | Von | Kategorie: Admin, DNS

Wir verwenden OpenDNSSEC für die Signatur unserer Zonen auf dem Nameserver. Bisher lief das ganze unter 1.4.6 auf Debian 8. Mit dem Wechsel auf Debian 9 wird auch OpenDNSSEC 2.0.4 mitgebracht. Dabei ist die Migration der Datenbank erforderlich. Diese unterscheiden sich für eine SQLite oder MySQL Datenbank. Wir verwenden SQLite3. Die Migration erfolgt in zwei […]



Lenny: Probleme mit libisc52

21. Juni 2010 | Von | Kategorie: Admin, DNS

Seit einigen Tagen zickt bei uns eine Debian Lenny Installation mit Fehlern in der Paketverwaltung. Anscheinend sind folgende Pakete kaputt: dnsutils libisccfg50 libisccc50 libbind9-50 libdns55 Dies äußert sich bei einem Aufruf von Aptitude mit: Lösung des Problems: Auf dem System existieren noch zwei Pakete, die nicht mehr benutzt werden aber dennoch Probleme verursachen: libdns53 und […]



DE Zone testweise signiert

9. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Seit dem 05.01.2009 ist die DE-TLD testweise signiert und kann von Caching-Forwardern genutzt werden. Wie Caching Forwarder mit DNSSEC konfiguriert werden ist in einem anderen Blog-Eintrag erwähnt. Hier soll nun die DE-Zone hinzugefügt werden. Achtung: Die DE-Zone verwendet einen RSASHA256 Schlüssel. Ich habe bis einschließlich  Bind 9.6.1 Probleme gehabt, diesen Algorithmus zu nutzen. Er wird […]



DNS-Replikation mit TSIG absichern

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Wer seine eigenen Zonen administriert, weiß wie wichtig die hier gespeicherten Daten sind. Damit bei Ausfall eines Servers die Daten weiterhin abgerufen werden, halten die meisten Administratoren die Daten redundant auf mehreren DNS-Servern vor. Der Einfachheit halber nutzt man hier die in das DNS-Protokoll eingebaute Replikation mit Hilfe der Zonentransfers. Damit nicht jeder einen Zonentransfer […]



DNSSEC signierte Zonen in der ISC DLV Datenbank eintragen

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Wurde die eigene Zone signiert, möchten wir auch, dass der Rest der Welt dies erfährt. Da die signierte Root und auch die Signatur der de-TLD noch auf sich warten lassen, können wir bis dahin die eigenen Schlüssel in der DLV-Datenbank des ISC veröffentlichen. Das geht sehr einfach innerhalb weniger Minuten. Zunächst benötigen wir ein Login. […]



Eigene Zone mit DNSSEC signieren

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Um die eigenen DNS-Zonen zu signieren, benötigen wir zunächst Schlüssel. Genauer brauchen wir Schlüsselpaare aus einem privaten (für die Signatur) und einem öffentlichen Schlüssel (für die Validierung). Der letztere wird veröffentlicht während der erstere geheim gehalten werden muss. Um den Roll-Over der Schlüssel besser handhaben zu können, sollten zwei Schlüsselpaare erzeugt werden. Ein Schlüsselpaar wird […]



DNSSEC im Caching Resolver

7. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

DNSSEC hat nun auch bei uns einzug gehalten. Die ersten Zonen werden nach langer Wartezeit signiert.  Warum hat es so lange gedauert und warum werden nicht alle Zonen signiert? Immerhin bieten wir seit über einem Jahr einen Kurs an, der sich auch mit DNSSEC beschäftigt (siehe Kurs 1022: DHCP, DNS & DNSSEC). Wir befinden uns […]