DNSSEC HOWTO

Dokumentace vychází z takzvané specifikace DNSSEC-bis, která byla dokončena pracovní skupinou IETF DNSEXT v červenci 2004, a publikována v březnu 2005 jako [3, 4, 5], autorem dokumentu je Olaf Kolkman.

Počínaje listopadem 2006 má autor povědomí o následujících open-source a freeware implementacích specifikací DNSSEC-bis: BIND 9.3.2 a NSD 3.0.3. Všechny naše příklady jsou založeny na BIND 9.3.2.

Tento dokument není koncipován jako úvod do DNS. Předpokládá se základní znalost DNS a použitých zkratek. Pokusili jsme se nepoužívat slang, ale v případech, kdy jsme se tomu nevyhnuli, jsme se pokusili vysvětlit význam. Pokud se chcete obecně o tématu DNS dozvědět více, pak jsou vynikajícím úvodem do problematiky knihy Paula Albitze a Cricketa Luie[2] nebo Rona Aitchinsona [1].

Obsah tohoto dokumentu se bude měnit. Pravidelně prosím kontrolujte dostupnost nových verzí na www.nlnetlabs.nl/dnssec_howto/ (v angličtině). Vaše opravy a doplnění jsou vítány.

Obsah DNSSEC HOWTO

I. Zabezpečení dat DNS

 1. Konfigurace rekurzivního jmenného serveru pro ověřování odpovědí


  1.1 Úvod


  1.2 Upozornění


  1.3 Konfigurace caching forwarderu


  1.3.1 Konfigurace trust anchor


  1.3.2 Testování


  1.4 Vyhledání trust-anchors


  1.5 Lookaside Validation


  1.5.1 Konfigurace lookaside validation


  1.5.1.1 Testování


  1.6 Tipy na odstraňování některých problémů

 2. Zabezpečení zóny DNS


  2.1 Úvod


  2.2 Konfigurace autoritativních serverů


  2.3 Vytváření párů klíčů


  2.3.1 Zásady údržby klíčů


  2.3.1.1 Klíč podepisující klíče a klíč podepisující zóny


  2.3.2 Vytváření klíčů


  2.4 Podepisování zóny


  2.5 Konfigurace caching forwarderu


  2.6 Znovupodepsání zóny


  2.7 Odstraňování problémů podepsaných zón


  2.8 Možné problémy

 3. Delegování podepisující autority; přechod na globální zabezpečení


  3.1 Úvod


  3.2 Praktické kroky


  3.3 Možné problémy


  3.4 Přihlášení do registru DLV

 4. Rotace klíčů


  4.1 DNS traversal (přechod přes DNS)


  4.2 “Předem publikované” a “dvojitě podepsané“ rotace


  4.3 Nástroje


  4.4 Rotace ZSK


  4.4.1 Příprava ZSK (fáze vytvoření)


  4.4.2 Rotace ZSK(fáze 1)


  4.4.3 Vyčištění ZSK (fáze 2)


  4.4.4 Úprava dat zóny během rotace


  4.5 Rotace klíče podepisujícího klíče


  4.5.1 Příprava KSK (fáze vytvoření)


  4.5.2 Rotace ZSK (fáze 1)


  4.5.3 Vyčištění KSK (fáze 2)


  4.5.4 Vícenásobné KSK

II. Zabezpečení komunikace mezi servery

 1. Zabezpečení zónových přenosů


  5.1 Úvod


  5.2 Generování klíče TSIG


  5.2.1 Generování tajného klíče TSIG pomocí dnssec-keygen


  5.2.2 Další způsoby generování tajných klíčů


  5.3 Konfigurace klíčů TSIG


  5.4 Konfigurace TSIG primárních serverů


  5.5 Konfigurace TSIG sekundárních serverů


  5.6 Zabezpečení komunikačního nástroje pro UPOZORNĚNÍ


  5.7 Řešení problémů s konfigurací TSIG


  5.8 Možné problémy

III. Nástroje pro odstraňování problémů


6. Využití „drill“ při odstraňování problémů


7. Využití „dig“ při odstraňování problémů


8. Nástroje DNSSEC

IV. Přílohy


A Instalace BIND


B Odhad zvětšení zóny


C Generování náhodných čísel


D Knihovna Net::DNS::SEC v Perlu

V. Reference