BIND 9.4 Sicherheit

Online bearbeiten

BIND 9 bietet Transaktionssignaturen (TSIG) und Signatures (SIG) als Sicherheitsmaßnahmen für namedan.

Der Namensserver mit BIND 9 lässt standardmäßig keine dynamischen Aktualisierungen für autoritative Zonen zu, ähnlich der von BIND 8.

BIND 9 unterstützt primär Transaction Signatures (TSIG) für die Server-zu-Server-Kommunikation. Dazu gehören Bereichstransfer, Benachrichtigung und rekursive Abfragenachrichten. TSIG ist auch nützlich für dynamische Updates. Ein primärer Server für eine dynamische Zone sollte die Zugriffssteuerung verwenden, um Aktualisierungen zu steuern, aber die IP-basierte Zugriffssteuerung reicht nicht aus.

Durch die Verwendung der Schlüsselbasisverschlüsselung und nicht der aktuellen Methode der Zugriffssteuerungslisten kann TSIG verwendet werden, um zu beschränken, wer zu den dynamischen Zonen aktualisieren kann. Im Gegensatz zur Methode Access Control List (ACL) dynamischer Aktualisierungen kann der TSIG-Schlüssel auf andere Updater verteilt werden, ohne die Konfigurationsdateien auf dem Namensserver ändern zu müssen. Dies bedeutet, dass der Namensserver die Konfigurationsdateien nicht erneut lesen muss.

Es ist wichtig zu beachten, dass BIND 9 nicht alle in BIND 8 implementierten Schlüsselwörter enthält. In diesem Beispiel verwenden wir die einfache Masterkonfiguration von BIND 8.
Hinweis: Um named 9 zu verwenden, müssen Sie den symbolischen Link zum named-Daemon auf named9 und nsupdate auf nsupdate9 umleiten, indem Sie die folgenden Befehle ausführen:
  1. ln -fs /usr/sbin/named9 /usr/sbin/named
  2. ln -fs /usr/sbin/nsupdate9 /usr/sbin/nsupdate
  1. Generieren Sie den Schlüssel mit dem Befehl dnssec-keygen:
    dnssec-keygen -a HMAC-MD5 -b 128 -n HOST keyname
    • HMAC-MD5 ist der Algorithmus, der für die Verschlüsselung verwendet wird.
    • 128 ist die Länge des zu verwendenden Schlüssels (oder die Anzahl der Bits)
    • HOST: HOST ist das TSIG-Schlüsselwort, das zum Generieren eines Hostschlüssels für die Verschlüsselung mit gemeinsam genutztem Schlüssel verwendet wird.
    Der Befehl
    dnssec-keygen -a HMAC-MD5 -b 128 -n HOST venus-batman.abc.aus.century.com
    würde zwei Schlüsseldateien wie folgt erzeugen:
    Kvenus-batman.abc.aus.century.com.+157+35215.key
Kvenus-batman.abc.aus.century.com.+157+35215.private
    • 157 ist der verwendete Algorithmus (HMAC-MD5).
    • 35215 ist der Fingerabdruck, der in DNNSEC nützlich ist, da mehrere Schlüssel pro Zone zulässig sind.
  2. Fügen Sie den Eintrag in named.conf auf dem Controller-Namensserver hinzu:
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

    Vorausgesetzt, dass HMAC-MD5 verwendet wird, enthalten beide Schlüsseldateien den gemeinsam genutzten Schlüssel, der als letzter Eintrag in den Dateien gespeichert wird. Suchen Sie eine sichere Methode, um den geheimen Schlüssel für den gemeinsamen Zugriff auf den Client zu kopieren. Sie müssen die Schlüsseldatei nicht kopieren, sondern nur den geheimen Schlüssel für gemeinsame Nutzung.

    Im Folgenden ist der Eintrag für die Datei Kvenus-batman.abc.aus.century.com.+157+35215.private angegeben:
    Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: +UWSvbpxHWFdNwEAdy1Ktw==
    Im Folgenden sehen Sie ein Beispiel für die named.conf -Datei für den Controller-Namensserver. Die Zone abc.aus.century.com ermöglicht die Zonenübertragung sowie dynamische Aktualisierungen nur für Server mit dem Schlüssel venus-batman.abc.aus.century.com. Gleiches gilt für die umgekehrte Zone, für die Aktualisierungsfunktionen erforderlich sind, damit der gemeinsam genutzte Schlüssel verwendet werden kann.
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" in {
        type master;
        file "named.abc.data";
        allow-transfer { key venus-batman.abc.aus.century.com.;};
        allow-update{ key venus-batman.abc.aus.century.com.; };
};

    Da Zonen-Übertragungen nun auf diejenigen beschränkt werden, die einen Schlüssel besitzen, muss auch die named.conf-Datei des Worker-Namensservers bearbeitet werden. Alle Anfragen an 192.9.201.1 (venus.abc.aus.century.com) werden mit einem Schlüssel signiert. Notieren Sie sich den Namen des Schlüssels (venus-batman.abc.aus.century.com) müssen mit denen auf den Servern übereinstimmen, die sie verwenden.

    Das folgende Beispiel ist ein Beispiel für die Datei " named.conf auf dem Worker-Name-Server:
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

server 192.9.201.1{
        keys { venus-batman.abc.aus.century.com.;};
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" IN {
    type slave;
    file "named.abc.data.bak";
    masters { 192.9.201.1; };
};

BIND 9 Sicherheit und DNSSEC - BIND Version 9.18

BIND 9 bietet Zugriffskontrolllisten, die ' chroot, die ' setuid -Funktion und die dynamische Aktualisierung als Sicherheitsmaßnahmen für den ' named -Befehl.

l

Für Sicherheitsüberlegungen in BIND Version 9.18, siehe BIND 9 Sicherheitsüberlegungen.

Vollständige Informationen zu DNSSEC (Domain Name System Security) finden Sie in den folgenden Abschnitten: