miércoles, 5 de junio de 2013

DNSSEC y BIND

Antes de continuar ver antes como enjaular el servicio BIND:
http://gnu-linux-opensource.blogspot.com/2011/11/enjaulando-el-bind.html

1) Instalamos dependencias:
apt-get install dnssec-tools libnet-dns-sec-perl libmailtools-perl libcrypt-openssl-random-perl

2) Agregaremos los siguiente en named.conf.options

options {
....
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
} 

include "/etc/bind/bind.keys";
 
3) ahora nos movemos a /var/lib/named/var/cache/bind/master y procedemos a hacer lo siguiente para cada zona:
 
zonesigner -genkeys -usensec3 -zone $dominio $archivo
 
4) Ahora en el llamado del fichero llamamos al que tiene como extension .signed:

file "master/$dominio.signed";
 
5) Para modificar una zona modificamos el fichero original y luego lo volvemos a firmar:
 
zonesigner -zone $dominio $archivo 


Ahora si tenemos un servidor esclavo haremos lo siguiente:

Hacer los pasos 1 y 2 previamente hechos, omitimos el paso 3 del server maestro y pasamos al 4to paso que seria nuestro 3er paso.

3) En el llamado del fichero agregamos la extension.signed:
 
file "slave/$dominio.signed";
 
Hasta este punto ya tenemos nuestros servidores con DNSSEC.
 
Saludes hasta el proximo post. 

No hay comentarios: