Beiträge zum Stichwort ‘ DNS ’

DE Zone testweise signiert

9. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Seit dem 05.01.2009 ist die DE-TLD testweise signiert und kann von Caching-Forwardern genutzt werden. Wie Caching Forwarder mit DNSSEC konfiguriert werden ist in einem anderen Blog-Eintrag erwähnt. Hier soll nun die DE-Zone hinzugefügt werden. Achtung: Die DE-Zone verwendet einen RSASHA256 Schlüssel. Ich habe bis einschließlich  Bind 9.6.1 Probleme gehabt, diesen Algorithmus zu nutzen. Er wird […]



DNSSEC-Signaturen mit Nagios überwachen

8. Januar 2010 | Von | Kategorie: Monitoring | Availability

Sollte die Gültigkeit einer Zonen-Signatur ablaufen, so wird eine Namensauflösung nicht mehr funktionieren, also muss die Gültigkeit der Signatur durchgehend proaktiv überwacht werden. Die Prüfung der Gültigkeit von DNSSEC-Zonen Signaturen lässt sich einfach mit Nagios überwachen. Zunächst muss das entsprechende Nagios-Plugin kompiliert und installiert werden. Das Kompilieren des Plugins ist mittels ./configure und make recht […]



DNS-Replikation mit TSIG absichern

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Wer seine eigenen Zonen administriert, weiß wie wichtig die hier gespeicherten Daten sind. Damit bei Ausfall eines Servers die Daten weiterhin abgerufen werden, halten die meisten Administratoren die Daten redundant auf mehreren DNS-Servern vor. Der Einfachheit halber nutzt man hier die in das DNS-Protokoll eingebaute Replikation mit Hilfe der Zonentransfers. Damit nicht jeder einen Zonentransfer […]



DNSSEC signierte Zonen in der ISC DLV Datenbank eintragen

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Wurde die eigene Zone signiert, möchten wir auch, dass der Rest der Welt dies erfährt. Da die signierte Root und auch die Signatur der de-TLD noch auf sich warten lassen, können wir bis dahin die eigenen Schlüssel in der DLV-Datenbank des ISC veröffentlichen. Das geht sehr einfach innerhalb weniger Minuten. Zunächst benötigen wir ein Login. […]



Eigene Zone mit DNSSEC signieren

8. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

Um die eigenen DNS-Zonen zu signieren, benötigen wir zunächst Schlüssel. Genauer brauchen wir Schlüsselpaare aus einem privaten (für die Signatur) und einem öffentlichen Schlüssel (für die Validierung). Der letztere wird veröffentlicht während der erstere geheim gehalten werden muss. Um den Roll-Over der Schlüssel besser handhaben zu können, sollten zwei Schlüsselpaare erzeugt werden. Ein Schlüsselpaar wird […]



DNSSEC im Caching Resolver

7. Januar 2010 | Von | Kategorie: Admin, DNS, Firewalling | VPN | IDS

DNSSEC hat nun auch bei uns einzug gehalten. Die ersten Zonen werden nach langer Wartezeit signiert.  Warum hat es so lange gedauert und warum werden nicht alle Zonen signiert? Immerhin bieten wir seit über einem Jahr einen Kurs an, der sich auch mit DNSSEC beschäftigt (siehe Kurs 1022: DHCP, DNS & DNSSEC). Wir befinden uns […]