ネットワークエンジニア系ブログ。エンターテイメント、おすすめ映画、本、キッズ系などお役立ち情報を紹介!

GOISBLOG

medium_292557593

サーバー技術

DNSSECを設定しセキュアな環境を構築する

投稿日:

DNSSECってよく聞くのだが、結局じぶんで環境を作ってみないとわかんねぇ。

ということで作ってみました。

DNSSECとは

DNSSECはDNSサーバから送られてくる名前解決(IPアドレスやホスト名)の情報の信頼性をセキュアにする拡張機能です。

DNSサーバとクライアント間で証明書を使うことにより、正当な回答をし、DNS応答の偽造、改ざんを防ぐことができます。

スポンサーリンク


権威(root)サーバの設定

まずは、ゾーンの署名に使う鍵を作ります。
鍵は2種類あります。

  • KSK(Key SigningKey)
    ゾーン署名鍵ZSKに署名する鍵
  • ZSK(Zone Signing Key)
    ゾーンに署名するゾーン署名鍵

署名鍵をつくりには「dnssec-keygen」コマンドを使います。

今回は以下でオプションを使って作成しました。

  • -f
    →keyflag KSKを指定
  • -a
    →アルゴリズム RSASHA256を指定
  • -b
    →keyサイズ(bit) 4096bit
  • -n
    →nametype ZONEを指定

それでは実際にコマンドを叩きます。

# dnssec-keygen -f KSK -a RSASHA256 -b 4096 -n zone v4.com
Generating key pair.

このコマンドは時間がかなりかかります。

とりあえず速攻作成するには「-r /dev/urandom」オプションを使用する
※chroot配下の「/var/named」で作成!

以下はKSKとZSKの署名鍵を作成したコマンドです。

# dnssec-keygen -f KSK -r /dev/urandom -a RSASHA256 -b 4096 -n zone v4.com
Generating key pair..........................++ .............++
Kv4.com.+008+62014

# dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 -n zone v4.com
Generating key pair.........++++++ .......................................++++++
Kv4.com.+008+53328

上記コマンドを実行すると以下ファイルが生成されます。

# ll
合計 36
-rw-r--r--  1 root root   421  9月  4 18:22 2014 Kv4.com.+008+53328.key
-rw-------  1 root root  1012  9月  4 18:22 2014 Kv4.com.+008+53328.private
-rw-r--r--  1 root root   941  9月  4 18:21 2014 Kv4.com.+008+62014.key
-rw-------  1 root root  3316  9月  4 18:21 2014 Kv4.com.+008+62014.private

次に対象のゾーンファイルに作成した「key」を追記します。
※シリアル値の更新を忘れないこと!

# vim db.v4.com

;
$TTL 1
@       IN      SOA     dns.jp.       dnsadm.v4.com. (
                                                2014090401      ; Serial [yyyymmddhh]
                                                3h              ; Refresh[3h]
                                                1h              ; Retry  [1h]
                                                7d              ; Expire [7d]
                                                1d )            ; Minimum[1d]

                IN      NS      dns.v4.com.
www             IN      A       4.4.4.4
dns             IN      A       10.50.0.1

$INCLUDE "Kv4.com.+008+53328.key"
$INCLUDE "Kv4.com.+008+62014.key"

~

ゾーンファイルを更新後は該当のファイルにエラーがないかを確認します。

# named-checkzone v4.com db.v4.com
zone v4.com/IN: loaded serial 2014090402
OK

署名作成

「dnssec-signzone」コマンド実施し、署名を作成します。
以下は、「-o」コマンドでzonefileを指名します。

# dnssec-signzone -o v4.com db.v4.com
Verifying the zone using the following algorithms: RSASHA256.
Zone signing complete:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked
db.v4.com.signed

「db.v4.com.signed」と「dsset-v4.com.」が作成されます。

# ll
合計 96
-rw-r--r--  1 root  root   421  9月  4 18:22 2014 Kv4.com.+008+53328.key
-rw-------  1 root  root  1012  9月  4 18:22 2014 Kv4.com.+008+53328.private
-rw-r--r--  1 root  root   941  9月  4 18:21 2014 Kv4.com.+008+62014.key
-rw-------  1 root  root  3316  9月  4 18:21 2014 Kv4.com.+008+62014.private
-rw-r--r--  1 root  root  4738  9月  4 18:42 2014 db.v4.com.signed
-rw-r--r--  1 root  root   159  9月  4 18:42 2014 dsset-v4.com.
上記2つのファイルが作成される

署名済みのゾーンファイルは以下のようになってます。
DNSキーができていることがわかります。

# less db.v4.com.signed

; File written on Thu Sep  4 18:42:55 2014
; dnssec_signzone version 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6
v4.com.                 1       IN SOA  dns.jp. dnsadm.v4.com. (
                                        2014090403 ; serial
                                        10800      ; refresh (3 hours)
                                        3600       ; retry (1 hour)
                                        604800     ; expire (1 week)
                                        86400      ; minimum (1 day)
                                        )
                        1       RRSIG   SOA 8 2 1 20141004084255 (
                                        20140904084255 53328 v4.com.
                                        p+QlnDeiFm/XPTIPB/JCcUluJy5rfoxQeVKy
                                        p41gF9+srfBGSmQoBMv8VGL10gUM8tvSyY83
                      ---省略---
                        1       DNSKEY  256 3 8 (
                                        AwEAAbXa55rLbNHss1q+XvCuufD0GMOy5q68
                                        0BNbbZxq4AGXSwKPK0o6UI1ry6fxPFRR4m9C
                                        ZDaH4k6ZKhFrnqiqxxt4NIZQHCJEPjv9jFar

                      ---省略---
                                        ) ; key id = 53328
                        1       DNSKEY  257 3 8 (
                                        AwEAAaVkgIsZLnAGBUECdl8KKDiSB4kan7PZ
                                        85BsurxVhjk3em1deM5vVNRys3MtPTvvCqPd
                                        WnyKULbobLYVFH7PnANkZaUX6RXtxEJ2zxSe
                                        Y0KzRrOA+To13sW8RE9UrM7rUb1f+YIerZUn
                                        GzHHtO10JlcXsikVWERKKvn0S7SUgQb3yacZ
                      ---省略---

「named.conf」のタイプに「db.v4.com.signed」を記載します。

# vim /var/named/chroot/etc/named.conf

zone "v4.com" IN {
        type master;
        file "db.v4.com.signed";

namedを再起動します。

# service named restart

エラーが吐かれていないか確認しましょう。

# named-checkconf || echo NG
※NGが出なければOK

dnssecが書かれているか確認します。

# dig +dnssec v4.com

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> +dnssec v4.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8539
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;v4.com.                                IN      A

;; AUTHORITY SECTION:
v4.com.                 1       IN      SOA     dns.jp. dnsadm.v4.com. 2014090403 10800 3600 604800 86400
v4.com.                 1       IN      RRSIG   SOA 8 2 1 20141004084255 20140904084255 53328 v4.com. p+QlnDeiFm/XPTIPB/JCcUluJy5rfoxQeVKyp41gF9+srfBGSmQoBMv8 
v4.com.                 86400   IN      NSEC    dns.v4.com. NS SOA RRSIG NSEC DNSKEY
v4.com.                 86400   IN      RRSIG   NSEC 8 2 86400 20141004084255 20140904084255 53328 v4.com. IHsDJcD+iXxn5T4jgtH1x9UX82ZeiF683XVUyFVmFebZEgMJqgpuXcab 

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Sep  4 18:56:17 2014
;; MSG SIZE  rcvd: 449
&#91;/php&#93;




<h2>キャッシュサーバの設定</h2>

今回とはあまり関係ないですが、最新のrootゾーンの公開鍵は以下のURLにあります。

<a href="https://data.iana.org/root-anchors/">https://data.iana.org/root-anchors/</a>


キャッシュサーバのname.confでdnssecを有効にします。

options {
	--省略--
        dnssec-enable yes;
        dnssec-validation yes;
	--省略--
};

権威サーバ(root)のKSK公開鍵の入手する

まずは、以下コマンドでrootゾーンのKSK公開鍵を入手します。

# dig v4.com dnskey | grep -w 257 > root-ksk.key

KSK公開鍵からDSを生成します。

# dnssec-dsfromkey -2  root-ksk.key
v4.com. IN DS 62014 8 2 B881DEB2487A8CEC1C463D0C54D9D04C5D5B6610FE5E835E36E2C8C75F63F7E2

name.confに上記で生成root-ksk.keyに書かれているDNSKEYの文字列をコピーし、trusted-keysに張り付けます。

trusted-keys {
        “.“ 257 3 8
                                        "AwEAAbXa55rLbNHss1q+XvCuufD0GMOy5q68
                      ---省略---
                                        s58bx7jnD0TzpmlCSzv2nIB7VL0KMcdV";
};

※managed-keysを設定している場合はコメントアウトし反映させないようにしてください。

options {
        //managed-keys-directory "/etc/managed-keys";
//managed-keys {
//.                       initial-key 257 3 8 "
//                                oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
//                                LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
//                                Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
//                                LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
//                                ";
//};

設定が終わったら、必ずnamedを再起動します。

# service named restart

キャッシュDNSでDNSSECが正常に動いているか確認

ここまでくれば、後はDNSSECがうまく動いているか確認するだけです。
「dig」コマンドで名前解決され、「ad」フラグが表示されれば完了です。

# dig @localhost www.v4.com

; <<>> DiG 9.9.3-P2 <<>> @localhost www.v4.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64641 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.v4.com. IN A ;; ANSWER SECTION: www.v4.com. 1 IN A 4.4.4.4 ;; AUTHORITY SECTION: v4.com. 1 IN NS dns.v4.com. ;; Query time: 9 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Sep 05 17:35:54 JST 2014 ;; MSG SIZE rcvd: 73 [/php] adがフラグで立っているぜぃ! +DNSSECで確認した結果です。 [php highlight="1,8,17,21"] # dig @localhost www.v4.com +dnssec ; <<>> DiG 9.9.3-P2 <<>> @localhost www.v4.com +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39633 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.v4.com. IN A ;; ANSWER SECTION: www.v4.com. 1 IN A 4.4.4.4 www.v4.com. 1 IN RRSIG A 8 3 1 20141004084255 20140904084255 53328 v4.com. WcR0jMffQU/wxTONciN6/toVqMnsjQ8iPWWA1gU78W84bUU2Aat8jD6a ;; AUTHORITY SECTION: v4.com. 1 IN NS dns.v4.com. v4.com. 1 IN RRSIG NS 8 2 1 20141004084255 20140904084255 53328 v4.com. YAzU2UOHPx+jMMrSjNJPh+dfX8eAPfFv+9ao67f4m4aktnCNZDk2SOU/ ;; Query time: 6 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Sep 05 18:09:14 JST 2014 ;; MSG SIZE rcvd: 405 [/php] これで、DNSSECでの設定完了です!

3分間DNS基礎講座
3分間DNS基礎講座
posted with amazlet at 14.09.09
網野 衛二
技術評論社
売り上げランキング: 90,615

この記事が気に入ったら
いいね!しよう

Twitter で
スポンサーリンク

-サーバー技術
-

Copyright© GOISBLOG , 2016 AllRights Reserved.