miércoles, 5 de junio de 2013

DNSSEC y BIND

Antes de continuar ver antes como enjaular el servicio BIND:
http://gnu-linux-opensource.blogspot.com/2011/11/enjaulando-el-bind.html

1) Instalamos dependencias:
apt-get install dnssec-tools libnet-dns-sec-perl libmailtools-perl libcrypt-openssl-random-perl

2) Agregaremos los siguiente en named.conf.options

options {
.... 
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
} 

include "/etc/bind/bind.keys";
 
3) ahora nos movemos a /var/lib/named/var/cache/bind/master y procedemos a hacer lo siguiente para cada zona:
 
zonesigner -genkeys -usensec3 -zone $dominio $archivo
 
4) Ahora en el llamado del fichero llamamos al que tiene como extension .signed:


file "master/$dominio.signed";


 


5) Para modificar una zona modificamos el fichero original y luego lo volvemos a firmar:


 


zonesigner -zone $dominio $archivo 






Ahora si tenemos un servidor esclavo haremos lo siguiente:




Hacer los pasos 1 y 2 previamente hechos, omitimos el paso 3 del server maestro y pasamos al 4to paso que seria nuestro 3er paso.




3) En el llamado del fichero agregamos la extension.signed:


 


file "slave/$dominio.signed";


 


Hasta este punto ya tenemos nuestros servidores con DNSSEC.


 


Saludes hasta el proximo post. 










Publicado por



a las






































No hay comentarios:











Publicar un comentario







        

      









Suscribirse a:
Enviar comentarios (Atom)