HowTo => OpenBSD => Local Caching DNS + DNSSEC (BIND)



Vergelijkbare documenten
HowTo => OpenBSD => Local Caching DNS + DNSSEC (UNBOUND)

HowTo => OpenBSD => Basis Packet Filter

Domain Name System. DNS-service voor je eigen subdomein van os3.nl leveren.

HOWTO: Named, a Domain Name Server. geschreven door Johan Huysmans

DNS. Linuxnijmegen. Oscar Buse. 13 jan 2015

Examen Windows & Linux Server

HowTo => OpenBSD => Firewall met Secure Anonymous Access

HowTo => OpenBSD => Basis Installatie

HowTo => OpenBSD => Secure Remote Access

Aandachtspunten voor installatie suse in vmware server

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

HANDLEIDING. IPv6 implementatie op een DirectAdmin server met CentOS

IAAS HANDLEIDING - SOPHOS FIREWALL

1 Wat is Dns? 2 Logische Structuur van DNS. 3 Fysische structuur van DNS. 4 Records. 5 Hoe werkt nu DNS. 6 DNS in windows 2008

Automagisch installeren van OES en SLES. Frank Korpershoek Jeroen Bannink

Installatie Handleiding AP 1120 op HiPath 3000

HOWTO: Samba en Name Servers. geschreven door Johan Huysmans

Bestand: /home/karel/scripts/nas Pagina 1 van 8

Werken op afstand via internet

IPFire: Firewall en primary domain controller

9/2.11 Virtuele webservers aanmaken in Apache

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.2 Datum Juli 2018 Afdeling Communicatie Inlichtingenbureau

De netwerkversie van een Jabbla softwarepakket installeren

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.1 Datum Mei 2018 Afdeling Communicatie Inlichtingenbureau

Raspberry Pi Plex server installeren

[ EXAMEN LINUX UBUNTU SERVER ]

LINUX QUICKSTART... 1

USB NAAR SERIËLE CONVERTER

How To: Setup MGE Network Shutdown Module V3 op het service console binnen VMware ESX 3.0.2

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.3 Datum Januari 2019 Afdeling Communicatie Inlichtingenbureau

1 Installatie van de server... 2

Quarantainenet Log Forwarder

Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings

14/11/2017. Windows 10 & TCP/IP for timers. Dennis Dirks

Net2WebServer. Installatie handleiding

ipact Installatiehandleiding CopperJet 816-2P / P Router

Aanmelden Na installatie wordt de service automatisch gestart en kunt u meteen aanmelden van op afstand:

Bijlage Auto-Updater. Bijlage Auto-updater

Handleiding installatie Hexagon Geospatial Software

Howto make Exim work with Freesco 0.2.7

Bestand: /home/karel/scripts/nas Pagina 1 van 9

Chapter 4. eenvoudige webserver opzetten

Quarantainenet Log Forwarder

Virtual Web mini-howto

1) Domeinconfiguratie van Windows 9x clients & Windows Millennium

Configureren en installeren OPENOB op Raspberry PI

Wat is Samba en Samba 3.0 server voor Linux instellen als Primaire Domain Controller in een netwerk met Windows XP clients.

Voor op afstand os installatie moeten de volgende onderdelen geïnstalleerd zijn op de Windows 2000 server.

Installatie en configuratie 1.1. Licentie Systeem. Dé specialist in ruimtelijke informatievoorziening

Configureren van een VPN L2TP/IPSEC verbinding

DNSSEC, wat is het? Komt het er ooit nog van?

KeyLink B.V. KeyLink CTI Client Installation Manual - Dutch

INSTALLATIE HANDLEIDING

Installatiehandleiding

Router configuratie. Vervolgens pak je een werkplek (het liefst win 98 + ie 6.1 ) Start de pc op en zorg dat Illusion wordt gedeactiveerd.

Voorbeeld. SMTP relaydienst uitschakelen Microsoft Exchange 2007/2010

Quarantainenet Log Forwarder

Denit Handleiding DNS beheren

DNSSEC College. Arjen Zonneveld. Jelte Jansen. DHPA Techday, 21 mei 2015

Raspberry Pi VPN-server. Auteur: Ger Stok

Instellingen voor de C100BRS4 met Chello kabel Internet.

vroeger: 15 jaar unix systeem beheer/software development en 5 jaar infrastructuur architect (unix/blades)

Inrichting Windows XP Pro werkstation in schoollan

Magento 1.9 Koppeling installatiehandleiding

IPCOP Dieter Depuydt Mail:

Werkinstructie Linksys WIFI

Instellingen voor de C100BRS4 met Wanadoo kabel Internet.

DHCP Scope overzetten van Windows Server 2003 R2 naar Windows Server 2012

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe.

Oplossing: DNS. Domain Name System. Internet Name Space. Naam-adresvertalingen. Ontstaan : midden jaren tachtig Twee belangrijke karakteristieken:

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Instellen en gebruiken van LDAP met Active Directory

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Linux Server Back-up Online

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Applicatie nclone : Partitie back-up van je PC/laptop maken

Tijdhof Consulting Technotes. Configuratie van de Grandstream HandyTone 496 ATA. Tijdhof Consulting - 1 februari 2006

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

Windows server Wesley de Marie. Wesley

Magento 2 Koppeling installatiehandleiding

Instellen Zyxel modem als stand-alone ATA

Koppelen Centix Datacollecter aan RS-232 device d.m.v. de W&T 58631

Installatie Handleiding voor Modelit Applicatieprogrammatuur

Voor je met de installatie begint controleer of alle benodigde onderdelen aanwezig zijn. In de verpakking dient aanwezig te zijn:

Handleiding. Domeinnamen: registreren, verhuizen en gebruiken. Versie september 2014

SFTP-client WinSCP. Engelstalige versie van de client 1/22

3Com 4500G instellen voor Qmanage

Installatie & configuratie Citrix Receiver voor Windows

Linux Server Installatie

MKG Whitepapers augustus 2015

Solcon Online Backup. Aan de slag handleiding voor Linux

Boutronic. MSSQL Express server voor Log functie. >> Installatie handleiding << 23 april 2014, versie 1.0d

Handleiding installatie en gebruik. Ahsay OBM. Windows server Apple OS X Linux en UNIX-varianten

Installatiehandleiding AhsayOBM Unix / Linux. v

uziconnect Installatiehandleiding

EDGE RECORDING MANAGER

TECHNISCH ONTWERP Windows Server Door: Tomas, Zubin, Sammy en Vincent

Firmware Upgrade. Upgrade Utility (Router Tools)

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

Transcriptie:

=> => Local Caching DNS + DNSSEC (BIND) Hardware => Soekris 5501 (10W) Tools => USB naar Serial Adapter voor Console Putty voor Terminal sessie middels USB Serial Adapter Operating System => 4.8 Software => BIND Local Caching DNS + DNSSEC (BIND) Pagina 1 van 14

Inleiding: Door zelf lokaal een caching DNS in te richten zal je netwerkverkeer sneller worden. Dit komt omdat dan niet voor iedere aanvraag een verbinding naar een externe DNS dient te worden opgezet, dit effect wordt groter met een groter intern netwerk. Alle interne servers zijn bereikbaar onder hun FQDN (Fully Qualified Domain Name). Ook de werkplekken die hun IP via DHCP krijgen hebben nu een naam. DNSSEC is er om risico van cache poisoning en man-in-the-middle attacks te voorkomen. In eerste instantie laten we dit achterwege tot de basis functioneert, hierna kun je DNSSEC activeren. Local Caching DNS + DNSSEC (BIND) Pagina 2 van 14

Helaas mist geïnstalleerde versie 9.4.2 de benodigde DNSSEC functionaliteit. Optie: Wacht op nieuwe versie of installeer zelf. De kans dat er een nieuwere versie komt is gering. Zelf installeren met ISC versie doet afbreuk aan de zo geroemde security die we van gewend zijn. BIND werkt voor de rest prima, het is ook het meest geïnstalleerde DNS systeem. Indien je provider reeds gebruik maakt van DNSSEC is je risico beperkt tot jouw verbinding met hun DNS servers. De aanbeveling is om UNBOUND te installeren indien je gebruik wenst te maken van DNSSEC. Zie hiertoe Local Caching DNS + DNSSEC (UNBOUND) Local Caching DNS + DNSSEC (BIND) Pagina 3 van 14

Pre-install: Zie volgende onderdeel. Houdt de ingevulde variabelenlijst van de Bijlage Variabelen in het inleidende document Firewall met Secure Anonymous Access bij de hand tijdens instalatie/configuratie. Zodra je een variabele ziet, bv %HOST% vervang dit dan in zijn geheel door wat je had ingevuld, dus zeker geen %-tekens achterlaten. Local Caching DNS + DNSSEC (BIND) Pagina 4 van 14

Installatie BIND: De benodigde programmatuur zonder DNSSEC is reeds door de basisinstallatie aanwezig. Wat gemist wordt is dnssec-dsfromkey, dit onderdeel is noodzakelijk voor het ophalen van de Root Key. We gaan nu de nieuwste sources ophalen bij ISC en zelf compileren. Hierna plaatsen we het bestand in /usr/local/sbin (ergens in search path). root @ 10.0.10.1 PuTTY [ksh] # cd /home/install # wget http://ftp.isc.org/isc/bind9/9.8.0-p1/bind-9.8.0-p1.tar.gz # tar zxvf bind-9.8.0-p1.tar.gz # cd bind-9.8.0-p1 #./configure && make && echo "BUILD OK" # cd bin/dnssec # cp p dnssec-dsfromkey /usr/local/sbin Local Caching DNS + DNSSEC (BIND) Pagina 5 van 14

Post-Installatie BIND: Configuratie gaat middels onderstaande bestanden. Bewaar eerst het originele bestand. root @ 10.0.10.1 PuTTY [ksh] # cp p /var/named/etc/named.conf /var/named/etc/named.conf.org Algemene configuratie. root @ 10.0.10.1 PuTTY [vi /var/named/etc/named.conf] #################################################################### ####### ### named.conf ### #################################################################### ####### options { allow-query { 127.0.0.1; 10.0.10/24; }; # Eigen range invullen allow-recursion { 127.0.0.1; 10.0.10/24; }; # Eigen range invullen allow-transfer { none; }; # dnssec-enable yes; # Zodra Key opgeslagen # dnssec-validation yes; # Zodra Key opgeslagen #forward first; forwarders { %NS1%; %NS2%; }; # Provider DNS servers query-source address 127.0.0.1 port *; # Mogelijk alleen localhost en LAN/DMZ middels redirect in pf.conf!!! listen-on { 127.0.0.1; 10.0.10.1; }; # Eigen LAN interface Local Caching DNS + DNSSEC (BIND) Pagina 6 van 14

}; listen-on-v6 { none; }; version "named"; ### Signed Root Zone Key voor DNSSEC # # Gebruik separaat script voor ophalen en verifieren Root Zone. # Activeer include regel als je de Key hebt opgeslagen. # Activeer dnssec regels bij bovenstaande Options. #include "/etc/root_trusted_key"; ### Enable RNDC Commands # #controls { # inet 127.0.0.1 allow { localhost; }; #}; ### Disable RNDC Commands # controls { }; logging { category lame-servers { null; }; }; zone "." { type hint; file "etc/root.hint"; }; zone "localhost" { type master; file "standard/localhost"; allow-transfer { localhost; }; }; zone "127.in-addr.arpa" { type master; Local Caching DNS + DNSSEC (BIND) Pagina 7 van 14

}; file "standard/loopback"; allow-transfer { localhost; }; zone "%DOMEIN%" { # Eigen domein type master; file "master/db.%domein%"; # Eigen domein allow-update { none; }; }; # Eigen range invullen # Eigen range invullen zone "10.0.10.in-addr.arpa" { }; type master; file "master/db.10.0.10"; allow-update { none; }; Forward Resolving File Commentaar met # geeft error, dus hier alleen voor verduidelijking. host1.%domein%. 86400 IN A 10.0.10.200 host2.%domein%. 86400 IN A 10.0.10.201 root @ 10.0.10.1 PuTTY [vi /var/named/master/db.%domein%] %DOMEIN%. 86400 IN SOA wodan.%domein%. root.%host%.%domein%. ( 1 10800 3600 6044800 86400 ) 86400 IN NS %HOST%.%DOMEIN%. %HOST%.%DOMEIN%. 86400 IN A 10.0.10.1 dhcp1.%domein%. 86400 IN A 10.0.10.10 dhcp2.%domein%. 86400 IN A 10.0.10.11 dhcp3.%domein%. 86400 IN A 10.0.10.12 Local Caching DNS + DNSSEC (BIND) Pagina 8 van 14

dhcp4.%domein%. 86400 IN A 10.0.10.13 dhcp5.%domein%. 86400 IN A 10.0.10.14 Local Caching DNS + DNSSEC (BIND) Pagina 9 van 14

Reverse Lookup File 200.10.0.10.in-addr.arpa. 86400 IN PTR host1.%domein%. 201.10.0.10.in-addr.arpa. 86400 IN PTR host2.%domein%. root @ 10.0.10.1 PuTTY [vi /var/named/master/db.10.0.10] 10.0.10.in-addr.arpa. 86400 IN SOA %HOST%.%DOMEIN%. root.%host%.%domein%. ( 1 10800 3600 6044800 86400 ) 86400 IN NS %HOST%.%DOMEIN%. 1.10.0.10.in-addr.arpa. 86400 IN PTR %HOST%.%DOMEIN%. 10.10.0.10.in-addr.arpa. 86400 IN PTR dhcp1.%domein%. 11.10.0.10.in-addr.arpa. 86400 IN PTR dhcp2.%domein%. 12.10.0.10.in-addr.arpa. 86400 IN PTR dhcp3.%domein%. 13.10.0.10.in-addr.arpa. 86400 IN PTR dhcp4.%domein%. 14.10.0.10.in-addr.arpa. 86400 IN PTR dhcp5.%domein%. Local Caching DNS + DNSSEC (BIND) Pagina 10 van 14

Script voor ophalen en controle Trusted Key. Plaats het tevens in cron voor wekelijkse controle en output naar /var/log/named/dnssec_verify_rootzone.log. root @ 10.0.10.1 PuTTY [vi /var/named/etc/dnssec_verify_rootzone.sh] #################################################################### ####### ### dnssec_verify_rootzone.sh ### #################################################################### ####### # Gebaseerd op script van Calomel.org DNSSEC Root Zone echo "" echo "DNSSEC Root Zone Verificatie" echo "" # Plek waar de Key wordt opgeslagen roottrustedkey="/var/named/etc/root_trusted_key" # Ga naar /tmp en verwijder ouwe bestanden # Beter nog contole toevoegen of pwd=/tmp cd /tmp rm -rf root-* # Ophalen Root Zone DNSKEY echo "Ophalen Root Zone DNSKEY middels DNS (root-ds)" dig +noall +answer DNSKEY. > root-dnskey dnssec-dsfromkey -f root-dnskey. > root-ds # Ophalen IANA Key Digest echo "Ophalen IANA Key Digest middels https (root-anchors)" wget -q https://data.iana.org/root-anchors/root-anchors.xml Local Caching DNS + DNSSEC (BIND) Pagina 11 van 14

# Filteren Digest om output duidelijk te zien rootds=`cat root-ds grep "8 2" awk '{print $7 $8}'` rootanchors=`cat root-anchors.xml grep \<Digest\> sed 's/<digest>//' sed 's/<\/digest>//'` # Print beide Digests ter controle echo "" echo "Vergelijk Visueel de Digests:" echo -n "root-ds : "; echo $rootds echo -n "root-anchors: "; echo $rootanchors echo "" # Controleer of "Root Zone DNSKEY" en de "IANA Digest" Gelijk zijn if [ $rootds = $rootanchors ] then echo "GECONTROLEERD: Correcte Signature. Digests zijn Gelijk." # Filter de DNSKEY keytype=`cat root-dnskey grep 257 awk '{print $5" "$6" "$7 }'` trustedkey=`cat root-dnskey grep 257 awk '{print substr($0, index($0,$8)) }'` # Plaats de DNSKEY in het door named.conf benodigde Include Bestand echo "managed-keys {" > $roottrustedkey echo " \".\" initial-key $keytype \"$trustedkey \";" >> $roottrustedkey echo "};" >> $roottrustedkey echo " " echo "Klaar. De key is in $roottrustedkey" else echo "MISLUKT: FOUTIEVE Signature. GEEN MATCH!!" # Indien gewenst kun je hier mail naar beheer toevoegen exit fi Local Caching DNS + DNSSEC (BIND) Pagina 12 van 14

Wijzig de te raadplegen Nameserver. root @ 10.0.10.1 PuTTY [vi /etc/resolv.conf] nameserver 127.0.0.1 nameserver 10.0.10.1 Opstarten van de daemon gaat automatisch voor ip4 door deze toevoeging. root @ 10.0.10.1 PuTTY [vi /etc/rc.conf.local] named_flags="-4" # IP4 Local Caching DNS + DNSSEC (BIND) Pagina 13 van 14

Links: Boeken: http://www.openbsd.org/ http://www.chiark.greenend.org.uk/~sgtatham/putty/ DNS and BIND Local Caching DNS + DNSSEC (BIND) Pagina 14 van 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback