DNSSEC signierte Zonen in der ISC DLV Datenbank eintragen

8. Januar 2010 | Von | Kategorie: Admin | DNS | Firewalling | VPN | IDS

Wurde die eigene Zone signiert, möchten wir auch, dass der Rest der Welt dies erfährt. Da die signierte Root und auch die Signatur der de-TLD noch auf sich warten lassen, können wir bis dahin die eigenen Schlüssel in der DLV-Datenbank des ISC veröffentlichen. Das geht sehr einfach innerhalb weniger Minuten.

Zunächst benötigen wir ein Login. Also müssen wir uns registrieren. Nach der Wahl eines Login-Namens und Kennwortes erhalten wir eine E-Mail mit einem Link, den wir bestätigen müssen. Damit sind wir in der Lage Zonen zur Datenbank hinzuzufügen. Gleichzeitig müssen wir den öffentlichen Teil unseres KSK-Schlüsselpaares hochladen. Anschließend erhalten wir den Hinweis, dass wir unsere Zone um einen TXT-Record zur Authentifizierung erweitern müssen:


dlv.spenneberg.net. 0 IN TXT "DLV:1:....."

Sobald das geschehen ist, die Seriennummer der Zone angepasst wurde und die Signatur wiederholt wurde, können wir die erneute Prüfung unserer Zone anstossen.

Ist alles ok, sind wir in der DLV-Datenbank eingetragen

Nun können wir das auch mit dig testen:


$ dig spenneberg.net +adflag

; <<>> DiG 9.6.1-P2-RedHat-9.6.1-7.P2.fc11 <<>> spenneberg.net +adflag
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36115
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;spenneberg.net.            IN    A

;; ANSWER SECTION:
spenneberg.net.        3429    IN    A    87.106.54.221

;; Query time: 2 msec
;; SERVER: 192.168.255.1#53(192.168.255.1)
;; WHEN: Fri Jan  8 09:55:02 2010
;; MSG SIZE  rcvd: 48

Hier ist das Flag ad (authentic data) wichtig. Hiermit zeigt der Caching DNS-Server an, dass sämtliche Daten validiert werden konnten. Dazu muss natürlich der Caching Resolver DNSSEC unterstützen und die ISC-DLV nutzen!

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Tags: | | | |

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.