DE Zone testweise signiert

9. Januar 2010 | Von | Kategorie: Admin | DNS | Firewalling | VPN | IDS

Seit dem 05.01.2009 ist die DE-TLD testweise signiert und kann von Caching-Forwardern genutzt werden. Wie Caching Forwarder mit DNSSEC konfiguriert werden ist in einem anderen Blog-Eintrag erwähnt. Hier soll nun die DE-Zone hinzugefügt werden.

Achtung: Die DE-Zone verwendet einen RSASHA256 Schlüssel. Ich habe bis einschließlich  Bind 9.6.1 Probleme gehabt, diesen Algorithmus zu nutzen. Er wird wahrscheinlich erst in den aktuellen Beta-Versionen ab 9.6.2 unterstützt. Ich setze nun das Bind9-Paket in der Version 9.7.0 aus Debian Experimental ein. Dieses unterstützt auch den Algorithmus.

Dann funktioniert es aber sehr gut. Hierzu müssen Sie zunächst eine andere Konfiguration für die DE-Zone in dem Caching-Forwarder konfigurieren. Eine Beispielkonfiguration wird von Denic in der Datei dnssec-testbed-muster-bind.txt veröffentlicht. Lediglich zwei Nameserver liefern die DE-Zone bisher signiert aus.

Das DENIC setzt 1024-Bit ZSK Schlüssel ein, die mit einem 2048 KSK-Schlüssel signiert werden. Dieser Schlüssel muss nun ebenfalls als Trusted-Key in Bind eingerichtet werden. Diesen Schlüssel erhalten Sie auf dem DENIC-SSL-Server. Um in zu verwenden, müssen Sie das Format anpassen:


trusted-keys {
de.  257 3 8 "AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIljt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09NYkS1P7tOe8ola9IpQHTWO6ttTmSnyE=";
};

Wenn Sie nun eine Anfrage über den Caching-Forwarder durchführen, werden die DE-Zonen-Informationen signiert ausgeliefert:


# dig +dnssec spenneberg.de

; <<>> DiG 9.5.1-P3 <<>> +dnssec spenneberg.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5378
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;spenneberg.de.            IN    A

;; ANSWER SECTION:
spenneberg.de.        2646    IN    A    87.106.54.221

;; AUTHORITY SECTION:
spenneberg.de.        85446    IN    NS    ns3.spenneberg.net.
spenneberg.de.        85446    IN    NS    ns0.spenneberg.net.

;; ADDITIONAL SECTION:
ns0.spenneberg.net.    85446    IN    A    91.190.225.69
ns3.spenneberg.net.    2646    IN    A    87.106.54.221
ns0.spenneberg.net.    85446    IN    RRSIG    A 5 3 86400 20100206160953 20100107160953 138 spenneberg.net. MP9W6+fL2EqFyfSRX3ETeVVByuqoZst+PrguSZqxlLpVQTBFgQ0sEtwe +riiap9p5S2a1ByWlvbdaNit2mAItDsCFQD0a2OlLtoghGNaBjmaA1jL P3lSJbQfLARdnmC+RzdwYrj/plfBM7OMpawtrX7iSQpnGsLFzrFZKbqP TWDL0dHmpyxWXZ+67I1ugXsMeKpSKUS0ByY1jYIN6cnOmhwQFsSNw5gK lj4oYw4OvwekkPBd8FzYt3wHFnzYLR2hhtMDazv0D5Ji743L+PffQ1wJ 5EanTNnOC/ybp0J05UtFwQvkM6pjDhynyJAI/aHo+nJJlCI2iAlVefb1 zm9FKw==
ns3.spenneberg.net.    2646    IN    RRSIG    A 5 3 3600 20100206160953 20100107160953 138 spenneberg.net. HPCRgHHpsnEqQvU1YRG4vm2s/5PGwfsd8Sdw5/QcrhMrfM/NaN0TUSlh yK/2ts1QF4PlRGxot6woQfRIbGdXLSeEQeXqtuPMxg7H6xNK3p4JXFdu n0tOME20CpuyE+20xqcDPVZunOUy3b9UTP+1cDHR63mmQHO0pB4JbckX Xw2/s+BMjo7W9AOd6VUfyzdpYPahafYjKmUPnO05F06aQYePlv0XGXX5 WbCDCFp5FhRGKC/yypM4Z7Iy41if+aKWdMn6XszdlOW/iKaBZvQyc+Qx 7kQp63BEAlNI0xYQanSuDpc7tTBmzcaf+hQ0hzKZyIIaxsfOVlh5hTEi OTHwKQ==

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jan  9 09:59:18 2010
;; MSG SIZE  rcvd: 744

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Thematisch verwandte Artikel:

  • DNSSEC im Caching Resolver
    DNSSEC hat nun auch bei uns einzug gehalten. Die ersten Zonen werden nach langer Wartezeit signiert.  Warum hat es so lange gedauert und warum werden nicht alle Zonen signiert? Immerhin bieten wir seit über einem Jahr einen Kurs an, der sich auch mit DNSSEC beschäftigt (siehe Kurs 1022: DHCP, DNS & DNSSEC). Wir befinden uns […]...
  • Eigene Zone mit DNSSEC signieren
    Um die eigenen DNS-Zonen zu signieren, benötigen wir zunächst Schlüssel. Genauer brauchen wir Schlüsselpaare aus einem privaten (für die Signatur) und einem öffentlichen Schlüssel (für die Validierung). Der letztere wird veröffentlicht während der erstere geheim gehalten werden muss. Um den Roll-Over der Schlüssel besser handhaben zu können, sollten zwei Schlüsselpaare erzeugt werden. Ein Schlüsselpaar wird […]...
  • DNSSEC signierte Zonen in der ISC DLV Datenbank eintragen
    Wurde die eigene Zone signiert, möchten wir auch, dass der Rest der Welt dies erfährt. Da die signierte Root und auch die Signatur der de-TLD noch auf sich warten lassen, können wir bis dahin die eigenen Schlüssel in der DLV-Datenbank des ISC veröffentlichen. Das geht sehr einfach innerhalb weniger Minuten. Zunächst benötigen wir ein Login. […]...
  • DNSSEC-Signaturen mit Nagios überwachen
    Sollte die Gültigkeit einer Zonen-Signatur ablaufen, so wird eine Namensauflösung nicht mehr funktionieren, also muss die Gültigkeit der Signatur durchgehend proaktiv überwacht werden. Die Prüfung der Gültigkeit von DNSSEC-Zonen Signaturen lässt sich einfach mit Nagios überwachen. Zunächst muss das entsprechende Nagios-Plugin kompiliert und installiert werden. Das Kompilieren des Plugins ist mittels ./configure und make recht […]...
  • Lenny: Probleme mit libisc52
    Seit einigen Tagen zickt bei uns eine Debian Lenny Installation mit Fehlern in der Paketverwaltung. Anscheinend sind folgende Pakete kaputt: dnsutils libisccfg50 libisccc50 libbind9-50 libdns55 Dies äußert sich bei einem Aufruf von Aptitude mit: Lösung des Problems: Auf dem System existieren noch zwei Pakete, die nicht mehr benutzt werden aber dennoch Probleme verursachen: libdns53 und […]...
Tags: | | | | | | | |

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.