Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Interlan Primärt konsultbolag Web, mail och DNS som bisyssla Drygt 300 domäner och hemsidor 20 st. Gävle, Bollnäs, Övik Torbjörn Eklöv, torbjorn.eklov@interlan.se

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Publicitet fick vi. http://www.dnssecdeployment.org/wg/materials/20071107/dn ssec_incident_en.pdf Friday, 21/9 at 14:28, Interlan Gefle reported that there are routers and clients that cannot handle DNSSEC correctly and can therefore not reach gavle.se or ockelbo.se.

Status idag? DNSSEC default on! Interlan kan inte allt så vi rekommenderar alltid kunder att använda webb/mailhotell som har DNSSEC.

Utbildning i DNSSEC Sundsvall klar www.in-cyberspace.se Borlänge, Lycksele + Malmö i augusti och september Göteborg inplanerat

DNS-struktur då Ns.interlan.se Ns3.interlan.se Internet

Hur gjorde vi? Inventering av våra två DNS er ( Två DNS er, tre ISP er ) Vi körde Fedora/Centos? Och Bind 9.? Se till att de DNS ern bara är authoritative Kolla vilka de var resolvrar för ~rndc querylog Byte av namnserver på de som hade de som resolvrar Installerade en till DNS för nyckelhantering

DNS-struktur idag Ns.interlan.se Ns3.interlan.se Internet Signering Nyckelhantering

Hur gjorde vi? Kolla upp vilken Bind som krävs Generellt ligger Linuxdist efter på Bindversioner./configure

Hur gjorde vi Läste på om ZKT och installerade det för nyckelhantering./configure igen Valde en slaskdomän Signerade den med hjälp av ZKT Publicerade DS med.se s dåvarande verktyg Kollade om det såg bra ut Vi kollade inte tillräckligt, interlan.se och en testdomän var onåbar från telia och tele2 ett par månader.

Bygga Bind./configure --prefix=/usr --sysconfdir=/etc --disable-opensslversion-check --localstatedir=/var --with-openssl && make && make install

ZKT /etc/named.conf options { dnssec-enable yes;

ZKT Följer med senaste Bind, contrib/zkt./configure && make Kopiera dnssec-signer, dnssec-zkt och zkt-soaserial till t.ex /usr/local/bin Lägg in dnssec-cron i crontab #!/bin/sh dnssec-signer -v -v -r -N /etc/named.conf dnssec-zkt z

ZKT Flytta zonfil till egen katalog mv interlan.se interlan.se./zone.db touch interlan.se./zone.db.signed Named.conf zone interlan.se" { type master; file interlan.se./zone.db.signed ; }; Kör dnssec-cron och vips är ni igång!

ZKT Det är zone.db som ni sedan ändrar dnssec-cron signerar om när tiden är mogen eller när zone.db har förändrats Soa serial behöver ni inte ändra, zktsoaserial grejar det

ZKT Kolla dnssec.conf ResignInterval: 1w Sigvalidity: 30d

Erfarenheter Med rätt miljö är det enkelt och snabbt att komma igång Enkelt att skripta saker i Bind och ZKT addzone lägger upp domäner + signerar dem. Snart lägger vi upp DS-posterna via samma script automatiskt

Erfarenheter Övervakning! dnssec_monitor.pl http://opensource.iis.se

DNS-struktur Ns.interlan.se Ns3.interlan.se Internet Signering Nyckelhantering Övervakning

Erfarenheter Övervakning! dnssec_monitor.pl http://opensource.iis.se Backup!!! Slaven är ingen backup längre Ta backup OFTA! Dnscheck.iis.se is your best friend!!! NTP är ett krav!

Erfarenheter Kontrollera vilka resigninterval/sigvalidity ni klarar av/kräver Passa er för Intelligenta konsulter Passa er för Intelligenta brandväggar Schemalägger inte omsignering Signerar inte om ZSK som man ska Det är inte längre bara filer att kopiera Få med datum/tid när ni flyttar/kopierar Om något går snett, felsök och hittar ni inte felet slå av DNSSEC hos eran registrar TTL på fyra timmar hos.se

DNS-struktur idag Ns.interlan.se 213.141.76.202 2001:b48:10::2 Ns3.interlan.se 62.108.208.194 195.198.228.205 2001:b48:10:4::1 Internet Signering Nyckelhantering Övervakning

I morgon DNSSEC/DKIM DNSSEC deafult on överallt Hoppas på stöd i alla resolvrar/program

I morgon ZKT lagrar privata nycklarna på disk Inget stöd för någon HSM Se över hur det är att gå över till Opendnssec när den mognat lite mer

Webmin/Virtualmin

Webmin/Virtualmin OBS!!! Default är det DSA!!!

Infoweapons SolidDNS

Infoweapons SolidDNS

Infoweapons SolidDNS

DNSSEC i Windows Äntligen!!! Beskrivs i DNS SVR2008R2 DNSSEC.doc

Windows Server 2008 R2 Signering, glömt det! KSK dnscmd.exe /offlinesign /genkey /alg rsasha1 /length 2048 /flags KSK /zone domänen.se /sscert /friendlyname KSK-domänen.se ZSK dnscmd.exe /offlinesign /genkey /alg rsasha1 /length 2048 /zone domänen.se /sscert /friendlyname ZSK-domänen.se Signera Skapa katalog för dsset och keyset-filerna mkdir c:\windows\system32\dns\keys\domänen.se Ställ dig där när du signerar cd c:\windows\system32\dns\keys\domänen.se dnscmd /OfflineSign /SignZone /input C:\Windows\System32\dns\domänen.se /output C:\Windows\System32\dns\domänen.se.signed /zone domänen.se /signkey /cert /FriendlyName KSK-domänen.se /signkey /cert /friendlyname ZSK-domänen.se Hur ska vi få in domänen.se.signed i DNS en sedan? Bara en av många saker som fattas

Microsoft Windows Server 2008 R2 Resolver med validering Inte så knepigt att få till efter lite testande..

Tack!

Tack!

Tack!