Bind 9 und DNSSEC Konfiguration

DNSSEC, was ist das?

Domain Name System Security Extension (DNSSEC) ist eine Erweiterung des Domain Name Systems, die anhand von kryptographischen Algorithmen die Authentizität und Integrität von DNS- Zonen geährleistet. Anhand der im DNS hinterlegten Signaturen können die DNS-Einträge verifiziert werden.

Dieser Artikel basiert auf dem Artikel DNS-Server Bind konfigurieren.

 

Bind DNSSEC Konfiguration

Für die Erzeugung der Schlüssel und Signaturen werden die DNSSEC Tools benötigt. Diese können per

sudo apt-get install dnssec-tools

installiert werden.

Anschließend wechselt man in das Verzeichnis /etc/bind.

DNSSEC Schlüssel erzeugen

Für die Schlüsselgenerierung wird das Tool zonesigner verwendet und wie folgt aufgerufen:

sudo zonesigner -genkeys -usensec3 -zone meine.domain zones/db.meine.domain

Im aktuellen Verzeichnis befinden sich die erzeugten Keys, der KSK (Key Signing Key) und zwei ZSK (Zone Signing Key).

Die DNSSEC-Keys sind 30 Tage gültig. Nach Ablauf ist ein Key- Rollover nötig, da die Signatur der DNS-Zone ungültig ist. Der Key- Rollover kann automatisiert durchgeführt werden. Dazu später mehr.

DNS-Zone signieren

Anschließend wird die DNS-Zone mit

sudo zonesigner -zone meine.domain zones/db.meine.domain

signiert und als db.meine.domain.signed im Verzeichnis zones gespeichert.

Bind Konfiguration

Die Bind Konfiguration muss an zwei Stellen geändert werden. In der named.conf.options muss DNSSEC und die Validierung aktiviert werden. Bis man in einer öffentlichen Chain of Trust aufgenommen wird (der DS-Record muss dem Betreiber der übergordneten Zone übermittelt werden) muss der ZSK dem Bind als Managed Key bekannt gemacht werden.

In der named.conf.options wird der Abschnitt options wie folgt eweitert:

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

managed-keys {
      meine.domain. initial-key 257 3 8 "zsk";
};

Anschließend lässt man den Bind noch die Konfiguration neu einlesen

sudo rndc reload

und testet mit dig die Funktion:

dig +dnssec meine.domain
« Perfect Forward Secrecy für Postfix und Dovecot