คู มือการติดตั้ง DNSSEC, ประกาย นาดี ......ค ม อการต ดต ง DNSSEC, ประกาย นาด , มทร.อ

คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน

คมอการตดตง DNSSEC

บทนา

เอกสารฉบบน ใชประกอบการอบรมเชงปฏบตการ การตดตงหรอปรบแก DNS server ใหรองรบ DNSSEC ในงาน

ARIT-Net 2 ระหวางวนท 28-29 เมษายน 2559 ณ มหาวทยาลยเทคโนโลยราชมงคลศรวชย

มการดาเนนการ 3 สวน ประกอบดวย

การตดตงโปรแกรมบรการขอมลโดเมน

เพอใหระบบ DNS ทางานแบบ DNSSEC ใหบรการขอมลโดเมนสาหรบการรองขอจากภายนอก

เปนขนตอนสาคญ และมขนตอนในการดาเนนการหลายขนตอน หรอเกอบทงหมดของคมอน

การตดตงเพอใหแมขายบรการเครองลกขาย

เปนสวนทจะทาใหการรองขอบรการของลกขายภายในหนวยงานมสวนในการรองขอบรการผานแมขา

ยของหนวยงาน และเปนการทางานแบบ DNSSEC มขนตอนการทางานไมมาก

การใชเครองมอตรวจสอบการทางานของ DNSSEC

รนของระบบปฏบตการ และโปรแกรม DNS server ทใชทดลองตดตง

คาสงและไฟลจะอางองตามระบบปฏบตการและโปรแกรม DNS server จงควรเลอกใชคาสงอยางถกตอง ดงน

Debian 8.3 + BIND9-9.9.5

Radius version checking: named v CentOS 7.2 + BIND9-9.9.4

Radius version checking: named v Microsoft Windows Server 2012

1/55


การตดตงโปรแกรมแมขาย และการทดสอบ

เปนขนตอนการตดตงโปรแกรม DNS server

และการดาเนนการพนฐานใหสามารถรองรบการกาหนดคณสมบตของ DNSSEC บนเครองแมขาย ในขนตอนน

อาจะไมตองดาเนนการใดๆ หากเปนการการตดตง DNSSEC บนเครองแมขายทใหบรการ DNS อยแลว

1. อพเกรดแพคเกจลาสดและแพคเกจพนฐาน

Debian aptget update aptget upgrade y

อาจตอง reboot aptget install ntp y

CentOS yum update –y yum upgrade y

อาจตอง reboot yum install ntp y

2. ตดตงแพคเกจ BIND9 และแพคเกจสนบสนน

Debian (Bind9-9.9.5) aptget install bind9 –y aptget install dnsutils y

CentOS (Bind9-9.9.4) yum install bind –y yum install bindutils –y chkconfig named on

Microsoft DNS Server

ไมขอแสดงขนตอนการตดตง

2/55


3. ไดเรกทอรและไฟลคณสมบตของ BIND9

โครงสรางของไดเรกทอรและรายการไฟลคณสมบตตงตนของ BIND9 มดงน

Debian (Bind9-9.9.5) /etc/bind/

named.conf named.conf.options named.conf.defaultzones named.conf.local zones.rfc1918 bind.keys rndc.key

/var/cache/bind/

CentOS (Bind9-9.9.4) /etc/

named/ named.conf named.rfc1912.zones named.iscdlv.key named.root.keys rndc.conf rndc.key

/var/named/

4. เพม zone หรอ domain ใหม

ขนตอนนเปนการเพม domain หรอ zone ชอ rmutX.ac.th สาหรบเปนตวอยางประกอบการตดตง DNSSEC

โดยตาแหนงของไฟลจะอางองตามโครงสรางตงตนของ BIND9 ของแตละระบบปฏบตการ domain

Debian

แกไขไฟลคณสมบตหลก (/etc/bind/named.conf.local) เพอประกาศ zone ใหม vi /etc/bind/named.conf.local

: zone "rmutX.ac.th" IN

type master; file "rmutX.ac.th.zone";

; :

3/55


สรางไฟล zone สาหรบ rmutX.ac.th vi /var/cache/bind/rmutX.ac.th.zone

$TTL 1800 ; 2 hours rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (

2016021700 ; serial 7200 ; refresh 3600 ; retry 2419200 ; expire 10800 ; minimum

) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.

$ORIGIN rmutX.ac.th. ns1 A 203.158.xxx.xxx

AAAA 2001:3c8:xxxx::xxxx ns2 A 203.158.xxx.xxx

AAAA 2001:3c8:xxxx::xxxx

CentOS

แกไขไฟลคณสมบตหลก (/etc/named.conf) เพอประกาศ zone ใหม vi /etc/named.conf

: include "/etc/named.rfc1912.zones"; include "/etc/named.root.keys"; zone "rmutX.ac.th" IN

type master; file "rmutX.ac.th.zone";

; :

สรางไฟล zone สาหรบ rmutX.ac.th vi /var/named/rmutX.ac.th.zone

$TTL 1800 ; 2 hours rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (

2016021700 ; serial

4/55


7200 ; refresh 3600 ; retry 2419200 ; expire 10800 ; minimum

) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.


AAAA 2001:3c8:xxxx::xxxx ns2 A 203.158.xxx.xxx

AAAA 2001:3c8:xxxx::xxxx


- เปดโปรแกรมบรหารจดการ DNS

- ชไปยงชอ Forward Lookup Zones จากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส

- เลอกเมน New Zone…

- ดาเนนการตามขนตอน สราง Primary zone

5/55


- กาหนดชอ zone หรอ domain เปน rmutX.ac.th

- กาหนดชอไฟลสาหรบบนทกขอมลของ zone

- ดาเนนการตอไปจนแลวเสรจ

5. เรมตนการทางานของโปรแกรมใหม

ทกครงทมการแกไขไฟลคณสมบตของโปรแกรม BIND9 จาเปนตองใหโปรแกรมนาไฟลคณสมบตใหมไปใชงาน

หรอสงใหเรมตนทางานของโปรแกรมใหมทกครง

Debian & CentOS rndc reload

Debian service bind9 reload

6/55


CentOS service named reload

6. ทดสอบการทางาน

สามารถทดสอบการทางานของ DNS ไดจากคาสง dig

จากตวอยางคาสง ผลทไดจะตองแสดงผลเปนรายการ NS ทประกาศไวสาหรบ rmutX.ac.th ประกอบดวย

ns1.rmutX.ac.th และ ns2. rmutX.ac.th

dig @localhost rmutX.ac.th NS ;; ANSWER SECTION: rmutX.ac.th. 900 IN NS ns1.rmutX.ac.th. rmutX.ac.th. 900 IN NS ns2.rmutX.ac.th. ;; ADDITIONAL SECTION: ns1.rmutX.ac.th. 300 IN A 203.158.xxx.xxx ns1.rmutX.ac.th. 300 IN AAAA 2001:3c8:xxxx::xxxx ns2.rmutX.ac.th. 300 IN A 203.158.xxx.xxx ns2.rmutX.ac.th. 300 IN AAAA 2001:3c8:xxxx::xxxx

7/55


การกาหนดคณสมบต DNSSEC

การจะใหโปรแกรม BIND9 ใหบรการทมความสามารถเกยวกบ DNSSEC ไดนน จะตองมการดาเนนการ 3 สวน

หรอ 3 ขนตอน คอ

1) การสราง key สาหรบการ sign ขอมลบรการ โดยใชคาสง dnssec-keygen

จะไดผลลพธเปนไฟลเกบขอมลทเกยวของกบ key จานวน 2 ไฟลตอการสราง key หนงครง

ประกอบดวยไฟลเกบ public key เกบอยในไฟลทมสวนขยายชอไฟล .key และ private key

เกบอยในไฟลทมสวนขยายชอไฟล .private

2) การลงนามรบรอง หรอการ sign ขอมล zone คอการนา key ทไดไปดาเนนการ sign ขอมลในไฟล

zone หรอ domain โดยใชคาสง dnssec-signzone ผลลพธทไดจะเปนไฟล zone

ไฟลใหมทมขอมลเพมจากเดม ใชสาหรบตรวจสอบความถกตองของรายการใน zone

ไฟลผลลพธจะมสวนขยายชอไฟลเปน .signed

3) การกาหนดใหโปรแกรม BIND9 เปดการทางานใหมความสมารถของ DNSSEC และการนา zone

ทผานการ sign แลวจากขนตอนท 2) ไปใหบรการ

Key ทใชงานประกอบดวย 2 keys คอ Zone Signing Key (ZSK) ใชสาหรบการ Sing ขอมล zone ทจะใหบรการ

และ Key Signing Key (KSK) ใชสาหรบการ Sign ใหกบ ZSK

7. กาหนดให DNS server ทางานโดยมความสามารถของ DNSSEC

เพอเปดความสามารถในการทางานเกยวกบ DNSSEC จะตองแกไขไฟลคณสมบตหลกของโปรแกรม

โดยโปรแกรมในบางระบบปฏบตการอาจเปดการทางานเกยวกบ DNSSEC ไวอยแลว

แตยงคงตองปรบแกคณสมบตเพมเตมในบางจด รวมถงตองแกไขคณสมบตเพอใหโปรแกรม BIND9 นาไฟล zone

ทผานการ sign แลวไปใชงานแทนไฟล zone ตนฉบบเดม

Debian vi /etc/bind/named.conf.options

options : // Enable DNSSEC

dnssecenable yes; dnssecvalidation auto;

8/55


// Path to ISC DLV key bindkeysfile "/etc/bind/bind.keys"; managedkeysdirectory "/var/cache/bind";

: ;

CentOS vi /etc/named.conf

options : recursion yes; // Enable DNSSEC


// Path to ISC DLV key bindkeysfile "/etc/named.iscdlv.key"; managedkeysdirectory "/var/named/dynamic";

: ;


กรณของ DNS server บน Microsoft Windows นน มการกาหนดให DNSSEC

ทางานเปนคาตงตนอยแลว สามารถตรวจสอบได ดงน


- ชไปยงชอเครองแมขาย แลวคลกปมดานขวาของเมาส

- เลอกเมน Properties

9/55


จะพบวา DNS server บน Microsoft Windows server 2012 มการเปดการทางานของ DNSSEC

ไวเปนคาตงตนอยแลว สงเกตไดจากตวเลอก [/] Enable DNSSEC validator for remote responses

อกหนงขนตอนของการดาเนนการให DNS server ใน Microsoft Windows ทางานเกยวกบ DNSSEC

อยางสมบรณคอการเพม root trust anchors ไปใน Trust Point โดยการเพม Delegatin Signer ของ

root เขาไปยง Trust Point แลว DNS server จะนาคา DS เพอรองขอขอมล DNSKEY

เพอนาเขามาอกตอหนง

เนองจากคาของ root trust anchors นนเปลยนแปลงได โดย IANA เปนผปรบเปลยน (ดาวนโหลดไดจาก

https://data.iana.org/root-anchors/root-anchors.xml) จงจาเปนตองตรวจสอบและปรบปรงขอมล

root trust anchors อยเสมอ

ขนตอนการเพม root trust anchors เขาไปยง Trust Point มดงน

- ดาวนโหลด root anchors ท https://data.iana.org/root-anchors/root-anchors.xml

10/55



- ชเมาสไปยงรายการ ชอเครองแมขาย แลวคลกปมดานขวาของเมาส

- เลอกเมน Add DS

หมายเหต: ดหมายเลขของ Algorithm และ Digest Type ไดทภาคผนวก

8. แกไขคณสมบตใหนาขอมล zone ทผานการ sign แลวของโดเมน rmutX.ac.th

ขอมล zone ทใหบรการบนระบบ DNSSEC เปนขอมลจะไดจากการ sign ในขนตอนท 14 โดยใช key

ทจะสรางขนในขนตอนท 11 และ 12 ไฟลทผานการ sign แลวจะไดผลลพธเปนไฟล zone

11/55


ทมขอมลประกอบการตรวจสอบความถกตองของขอมลตางๆ ใน zone ตามวธการของ DNSSEC ไฟลทผานการ

sign จะมสวนขยายชอไฟลเปน .signed

แกไขไฟลรายการ zone เพอใหอางไปใชไฟลทผานการ sign แลว แทนการใชไฟล zone ตนฉบบ

Debian vi /etc/bind/named.conf.local


type master; file "rmutX.ac.th.zone.signed";

;


: include "/etc/named.root.keys"; zone "rmutX.ac.th" IN

type master; file "rmutX.ac.th.zone.signed";

;

CentOS

ไมมขนตอนการดาเนนการ

9. สรางไดเรกทอรสาหรบจดเกบไฟล key

Key ทใชสาหรบการทางานของ DNSSEC จะมหลาย key สาหรบโปรแกรม BIND9 นน แตละ key

จะถกบนทกไวในไฟลแยกกน รวมถงการบรหารจดการ key ทจะกลาวถงในเอกสารในชวงทาย จะมการสราง key

ขนมาใชพรอมๆ กนอกหลาย key จงควรสรางไดเรกทอรสาหรบเกบไฟลเหลานนไวในตาแหนงเดยวกน

Debian mkdir p /etc/bind/keys/rmutX.ac.th

CentOS mkdir p /etc/named/keys/rmutX.ac.th

12/55


10. การเรมตนการ Sign ขอมล zone ของ DNS server บน Microsoft Windows

สาหรบ DNS Server บน Microsoft Windows นน การดาเนนการเกยวกบ DNSSEC จะแยกกนในแตละ zone

มการดาเนนการในแบบ step-by-step โดยจะเรมตนจากการใชเมน Sign the zone จากนนจะดาเนนการสราง

key ทเกยวของ จนสนสดดวยการ sign ขอมล zone การดาเนนการดงกลาวมขนตอนเรมตนดงน


- ชเมาสไปยงชอ zone จากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส

- เลอกเมน DNSSEC >> Sign the zone

- ทาความเขาใจสงทกาลงจะดาเนนการเกยวกบ DNSSEC

- เลอกดาเนนการ Sign แบบปรบแตงเอง (Customize zone signing parameters)

13/55


11. สราง Key Signing Key (KSK)

เปนการสราง key สาหรบใชในการ sign ขอมล DNSKEY (หรอ singn ใหกบ ZSK อกท) สรางโดยใชคาสง

dnssec-keygen ดงน dnsseckeygen [options] zone_name

options

f KSK กาหนดใหสราง KSK key

a เลอกใชอลกอรทม

b กาหนดขนาดของ key

n กาหนดใหสราง key เพอใชกบขอมลแบบใด

Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th

KrmutX.ac.th.+010+50136

CentOS cd /etc/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


รายการไฟลทไดจากคาสง dnssec-keygen จะประกอบดวย 2 ไฟล คอ ขนตนดวย K ตามดวยชอ zone ตามดวย

algorithm id และ key id โดยไฟลทไดมสวนขยายชอไฟลเปน .key สาหรบเกบ public key

และสวนขยายชอไฟลเปน .private สาหรบเกบ private key มรปแบบ คอ K<zone>.+<algorithm_id>+key_id.key K<zone>.+<algorithm_id>+key_id.private

Debian ls l /etc/bind/keys/rmutX.ac.th

KrmutX.ac.th.+010+50136.key KrmutX.ac.th.+010+50136.private

14/55


CentOS ls l /etc/named/keys/rmutX.ac.th


เนอหาในไฟล public key ของ Key Signing Key

Debian cat /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

; This is a keysigning key, keyid 50136, for rmutX.ac.th. ; Created: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Publish: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Activate: 20160218160014 (Thu Feb 18 23:00:14 2016) rmutX.ac.th. IN DNSKEY 257 3 10 XwEAAeMBSmZ...42P0edD404tK qMKEgEn3wcGg7g3sPbION39qUk2iCMrwsdFCX0ZBc5... ZVb+1dnnbD2=

CentOS cat /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

; This is a keysigning key, keyid 50136, for rmutX.ac.th. ; Created: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Publish: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Activate: 20160218160014 (Thu Feb 18 23:00:14 2016) rmutX.ac.th. IN DNSKEY 257 3 10 XwEAAeMBSmZ...42P0edD404tK qMKEgEn3wcGg7g3sPbION39qUk2iCMrwsdFCX0ZBc5... ZVb+1dnnbD2=


การสราง Key Signing Key ของ DNS server บน Microsoft Windows นน

จะดาเนนการตอจากขนตอนท 10 ทผานมา มขนตอนของการดาเนนการเปนแบบ step-by-step เชนเดม

ดงน

- ทาความเขาใจกบการสราง Key Signing Key

- คลกปม Add เพอเพม Key Signing Key โดยจะสามารถม Key Signing Key ไดมากกวา 1

รายการ

- กาหนดตวเลอกในการสราง key ประกอบดวย

15/55


- Key Properties: เลอกคณสมบตการเขารหสทเหมาะสม เชน RSA/SHA-512

เลอกความยาวของ key หรอใชคาตงตนเปน 2048 สวนตวเลอกอน ๆ ทเหลอ

ใหใชคาตงตนของโปรแกรม

- Key Rollover: เลอกใชจากคาตงตนของโปรแกรม

- เมอสนสดการสราง key จะพบวาม key อยในรายการ

จะสามารถดาเนนการอนในภายหลงได เชน ลบ หรอแกไข เปนตน

16/55


12. สราง Zone Signing Key (ZSK)

เปนการสราง key สาหรบใชในการ sign รายการขอมล หรอ Record ตางๆ ของ zone เชน SOA เปนตน

สรางไดโดยใชคาสง dnssec-keygen เชนเดยวกบการสราง KSK ตามขนตอนลาดบท 11 เพยงแตประเภทของ key

ทจะสราง หรอไมตองระบ -k KSK ดาเนนการดงน dnsseckeygen [options] zone_name

options

a เลอกใชอลกอรทม

b กาหนดขนาดของ key

n กาหนดใหสราง key เพอใชกบขอมลแบบใด

Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


CentOS cd /var/named/keys/rmutX..ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


รายการไฟลทไดจากคาสง dnssec-keygen จะประกอบดวย 2 ไฟล และมรปแบบเชนเดยวกบการสราง KSK

ตามขนตอนท 11 มรปแบบ คอ K<zone>.+<algorithm_id>+key_id.key K<zone>.+<algorithm_id>+key_id.private

Debian ls l /etc/bind/keys/rmutX.ac.th


17/55


CentOS ls l /var/named/keys/rmutX.ac.th


เนอหาในไฟล Zone Signing Key

Debian cat /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key

; This is a zonesigning key, keyid 29105, for rmutX... ; Created: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Publish: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Activate: 20160218160039 (Thu Feb 18 23:00:39 2016) rmutX.ac.th. IN DNSKEY 256 3 10 XwEAAezAq8g...90nxD+YCULg9 PaVyANuSl8H8mR1/FMr8Hcttlt1n3rjyS1uQYA0lSr... ZxddFJrmAbe=

CentOS cat /var/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key

; This is a zonesigning key, keyid 29105, for rmutX... ; Created: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Publish: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Activate: 20160218160039 (Thu Feb 18 23:00:39 2016) rmutX.ac.th. IN DNSKEY 256 3 10 XwEAAezAq8g...90nxD+YCULg9 PaVyANuSl8H8mR1/FMr8Hcttlt1n3rjyS1uQYA0lSr... ZxddFJrmAbe=


การสราง Zone Signing Key ของ DNS server บน Microsoft Windows

จะดาเนนการตอจากขนตอนการสราง Key Signing Key ขนตอนท 11 ทผานมา

และมขนตอนของการดาเนนการเปนแบบ step-by-step เชนเดม ดงน

- ทาความเขาใจกบการสราง Zone Signing Key

- คลกปม Add เพอเพม Zone Signing Key โดยจะสามารถม Zone Signing Key ไดมากกวา 1

รายการ


18/55






- เมอสนสดการสราง key จะพบวาม key อยในรายการ

จะสามารถดาเนนการอนในภายหลงได เชน ลบ หรอแกไข เปนตน

19/55


13. แกไขไฟลขอมล zone เพอเพมหรอนาเขาขอมล DNSSEC keys

เพอเปนการกาหนดวา zone ใดใช key ใดประกอบการตรวจสอบขอมล จงตองนาเขา key หรออางถงไฟล key

ทตองการ โดยแกไขไฟล zone เพอนาขอมล key เขาไปภายใน ในทนจะใชวธการ INCLUDE

หรอนาเขาขอมลดวยการอางองไปทไฟลทเกบ key โดยตรง Key ทนาเขาไปใชใน zone จะตองมทง ZSK key

และ KSK key

Debian vi /var/cache/bind/rmutX.ac.th.zone

$TTL 1800 ; 2 hours rmutX.ac.th IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (

: ) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.

; DNSSEC ZSK KEY

$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY

$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key


AAAA 2001:3c8:xxxx::xxxx :

CentOS vi /var/named/rmutX.ac.th.zone

$TTL 1800 ; 2 hours rmutX.ac.th IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (

: ) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.

; DNSSEC ZSK KEY

$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY

$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

20/55



AAAA 2001:3c8:xxxx::xxxx :

14. ดาเนนการ Sign ใหขอมล zone

ขอมล zone ทใหบรการบนระบบ DNSSEC ตองเปนขอมลทผานการ sign โดย key

ทไดสรางไวแลวจากดาเนนการขอ 11 และ 12 ขนตอนนเปนการ sign ใหกบขอมลไฟล zone ตนฉบบ

และจะไดผลลพธเปนไฟล zone ทผานการ sign แลว ถาตองการแกไขขอมล zone เพมเตมในภายหลง เชน

การเพม record ใน zone ใหแกไขทไฟล zone ตนฉบบ ตามวธการปกตของการจดการขอมล zone

และในขนสดทาย จะตองดาเนนการ sign ขอมลไฟล zone ใหมทกครง การ sign ขอมล zone

ดาเนนการโดยใชคาสง dnssec-signzone ดงน

dnssecsignzone [options] zone_file [ZSK_file ZSK_file ...]

options

k กาหนดให sign โดยไฟล KSK ใด

N increment กาหนดใหนบเพมเลข serial จาก zone ตนฉบบ

o กาหนด ORIGIN ในไฟลผลลพธ

t แสดงสถตหลงการทางาน

Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key

Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...

ZSKs: 1 active, 0 standby, … /var/cache/bind/rmutx.ac.th.zone.signed

CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key

21/55



ZSKs: 1 active, 0 standby, … /var/named/rmutx.ac.th.zone.signed

รายการไฟลทไดหลงการ sign ขอมล zone จะมไฟลเกดขนใหม 2 ไฟล คอไฟลทผานการ sign

มสวนขยายชอไฟลเปน .signed และไฟลทมขอมลของ Delegation Signer (DS) ชอไฟล dsset-<zone>.

Debian ls l /var/cache/bind

rmutX.ac.th.zone rmutX.ac.th.zone.signed

ls l /etc/bind/keys/rmutX.ac.th dssetrmutX.ac.th.

CentOS ls l /var/named

rmutX.ac.th.zone rmutX.ac.th.zone.signed

ls l /etc/named/keys/rmutX.ac.th dssetrmutX.ac.th.


เปนขนตอนสดทายของ DNS server บน Microsoft Windows หลงจากดาเนนการสราง Key Signing Key และ

Zone Signing Key มาแลว การดาเนนการขนสดทายนคอขนการ sign ขอมล zone มขนตอนดงน

- เลอกรนของ Next Secure (NSEC) เปน NSEC3

- เลอก Enable the distribution of trust anchors for this zone เพอใหโปรแกรมเพม zone

นเขาเปนสวนหนงของ trust anchor ของระบบ

- ในการสราง DS record เลอกกระบวนการ SHA-384 กรณทมขอมลใน zone ไมมาก

- ดาเนนการตอไปจนแลวเสรจ

22/55


15. เรมตนการทางานของโปรแกรม BIND9 ใหม

หลงจากแกไข zone และดาเนนการ sign ขอมล zone แลว สาหรบโปรแกรม BIND9

ตองเรมตนทางานโปรแกรมใหมทกครง


16. ทดสอบการทางาน

สามารถทดสอบการทางานของ DNS ไดจากคาสง dig ในขนตอนน เปนการทดสอบการทางานทเกยวของกบ

DNSSEC ภายในตวเครองกอน โดยยงไมเกยวของกบโดเมนระดบบน

23/55


dig @localhost rmutX.ac.th SOA +dnssec +multiline ;; ANSWER SECTION: rmutX.ac.th. 1800 IN SOA ns1.rmutX.ac.th. noc.rmutX... (

2016032899 ; serial : 10800 ; minimum (3 hours) )

rmutX.ac.th. 1800 IN RRSIG SOA 10 3 1800 ( 20160426125413 20160327115413 29105 rmutX... vmGZKTi2wflaxZpbZL+...baoBXN87kEcr14QS9AG1w== )

dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline

;; ANSWER SECTION: rmutX.ac.th. 300 IN DNSKEY 256 3 10 (

AwEAAezAq8gwo7GOPmi...jcK7xR2tFgzTz3jxddFJrmAbk= ) ; ZSK; alg = NSEC3RSASHA1; key id = 29105

rmutX.ac.th. 300 IN DNSKEY 257 3 10 ( AwEAAeMBSmZydZ/J+VT...L0BUx/bfAR8DdUSVb+1dnnbDE= ) ; KSK; alg = NSEC3RSASHA1; key id = 50136

rmutX.ac.th. 300 IN RRSIG DNSKEY 10 3 300 ( 20160402032333 20160303032333 29105 rmutX.ac.th. kDAZR7gi+AHshZI4XIt...NbnB86uOuAPxVj/ggHU++Q== )

rmutX.ac.th. 300 IN RRSIG DNSKEY 10 3 300 ( 20160402032333 20160303032333 50136 rmutX.ac.th. jecrWaP4pBZFUde3jgi...TlGCrZUZlPgdfpWVDASG0Q== )

24/55


การเพมขอมล Delegation Signer (DS) ในขอมลผใหบรการจดทะเบยนโดเมน

ขนตอนน เปนการสรางความสมพนธกนระหวางผใหบรการ domain ระดบบน กบผใหบรการระดบยอยถดไป

โดยตองเอาขอมล Delegation Siner จากผใหบรการ domain ระดบยอย

ไปเพมในระบบการทางานของผใหบรการ domain ระดบบน

ขอมล Delegation Signer จะอยในไฟล dsset-<domain>. ทไดจากการ sign ขอมล zone ในขนตอนกอนหนาน

ทกครงทมการ sign ขอมล zone ดวย KSK เดม คาในไฟล dsset-<domain>. จะไมเปลยนแปลง ดงนน

ทกครงทมการแกไขขอมลใน zone และดาเนนการ sign ขอมล zone ใหม ไมจาเปนตองแกไข Delegation

Signer ทผใหบรการ domain ระดบบน

แตหากมการสราง KSK ขนมาใชงานเปน key ใหม เมอดาเนนการ sign ขอมล zone เรยบรอยแลว

จะตองนาขอมล Delegation Signer ไปปรบปรงทผใหบรการ domain ระดบบนดวย

17. การอานคา Delegation Signer (DS)

สามารถอานคา Delegation Signer ได 2 วธ คอ ใชคาสง dnssec-dsfromkey เพอคานวนคา DS จากไฟล

public key ของ KSK หรอ เปดดเนอหาในไฟล dsset-<zone> ทงน ไฟล dsset-<zone>

จะเกดขนหลงจากการ sign ขอมล zone แลวเทานน มรปแบบคาสงดงน dnssecdsfromkey [options] keyfile

Debian dnssecdsfromkey \ /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

rmutX.ac.th. IN DS 50136 10 1 3B05...A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A

ดในไฟลทเปนผลมาจาก sign ขอมล zone cat /etc/bind/keys/rmutX.ac.th/dssetrmutX.ac.th.

rmutX.ac.th. IN DS 50136 10 1 3B05..A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A

25/55


CentOS dnssecdsfromkey \ /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+007+50136.key

rmutX.ac.th. IN DS 50136 10 1 3B05...A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A

ดในไฟลทเปนผลมาจาก sign ขอมล zone cat /etc/named/keys/rmutX.ac.th/dssetrmutX.ac.th.

rmutX.ac.th. IN DS 50136 10 1 3B05[...]A72 rmutX.ac.th. IN DS 50136 10 2 C350[...]38F 4229A


ขอมล Delegation Signer (DS) ของ DNS server บน Microsoft Windows นน มขนหลงจากการ sign

ขอมล zone แลวเชนกน ตามขนตอนท 14 ทผานมา ขอมล DS จะถกบนทกไวเปนแบบขอความในไฟล

C:\Windows\System32\dns\dsset-<zone>

18. เพมขอมล Delegation Signer (DS) ในฐานขอมลผใหบรการระดบบน

ผใหบรการขอมลโดเมนระดบบน หรอโปรแกรม DNS server แตละโปรแกรม

มวธการหรอชองทางการทตางกนในการนาขอมล Delegation Signer (DS) จงตองสอบถามจากผใหบรการ

หรอศกษาจากวธการใชโปรแกรมนนๆ

26/55


กรณใชบรการ THNIC เปนผใหบรการโดเมนระดบบน

THNIC มชองทางสาหรบใหลกคาเขาไปบรหารจดการโดเมนของตน ผานบรการบนเวบไซตของ บรษท

มขนตอนดงน

เรมจากการเปดเวบไซตผใหบรการจดทะเบยนโดเมน http://www.thnic.co.th และดาเนนการตอไปตามลาดบ

คลกปม Member Login เพอเรมตนการเขาระบบบรหารจดการ

กรอกชอบญชและรหสผานเพอลงชอเขาระบบ

27/55


คลกลงค My Domain เพอจดการขอมลโดเมน

คลก แกไข DNSSEC จากรายการโดเมนทตองการแกไข เพอแกไขขอมลทเกยวของกบ DNSSEC

นาขอมลจากไฟล Delegation Signer (DS) ทไดจากขนตอนท 17 เพมเขาไปในรายการ DS จากนนใหคลกเลอก

ใช, ตองการแกไขขอมลโดเมน แลวสนสดดวยการคลกปม Add ทงน ตองเพมราย DS ทง 2 รายการ ตามลาดบ

28/55


กรณผใหบรการโดเมนระดบบนเปนโปรแกรม BIND9

ใหนาคาเนอหา Delegation Singer (DS) ทไดจากขนตอนท 17 ไปเพมในไฟล zone ของโปรแกรม BIND9

ของใหผบรการระดบบน เชน นา DS ของ sub.rmutX.ac.th ไปเพมในไฟล zone ของ rmutX.ac.th


rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (


sub.rmutX.ac.th. IN DS 50136 10 1 3BF...5149622 sub.rmutX.ac.th. IN DS 50136 10 2 C31...119735F 42092A9A


rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (


sub.rmutX.ac.th. IN DS 50136 10 1 3BF...5149622 sub.rmutX.ac.th. IN DS 50136 10 2 C31...119735F 42092A9A

กรณผใหบรการโดเมนระดบบนเปนโปรแกรม DNS server บน Microsoft Windows

การเพม Delegation Signer (DS) ใหกบ DNS server บน Microsoft Windows นน ใชการเพม DS record

เขาไปใน zone ระดบบน เชน นา DS ของ sub.rmutX.ac.th ไปเพมในไฟล zone ของ rmutX.ac.th

มขนตอนของการดาเนน ดงน


- ชเมาสไปยงชอ zone ระดบบนจากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส

- เลอกเมน Other New Records…

- เลอก Delegation Signer (DS) จากรายการ record type:

29/55


- เพมขอมล Delegation Signer ของ zone ระดบลางทตองการ

19. การทดสอบการทางานของ DNSSEC

สามารถทดสอบการทางานของ DNS ไดจากคาสง dig ดงน

ทดสอบขอมล Delegation Signer (DS)

dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 50136 10 1 3BF...5149622 rmutX.ac.th. 7199 IN DS 50136 10 2 C31...119735F 42092A9A

30/55


ทดสอบขอมล A ตามลาดบการใหบรการจากระดบบนสด dig @8.8.8.8 www.rmutX.ac.th A +dnssec +trace +multiline

. 15968 IN NS h.rootservers.net.

: . 15968 IN RRSIG NS 8 0 518400 201604..000 (

tJricQz25bdoSt8B1aF...vTGVQjJ15I= ) th. 172800 IN NS a.thains.co.th.

: th. 86400 IN DS 31159 8 2 (

B93A04EDD2B7DA8726B...DC86B1F6FB9 ) th. 86400 IN RRSIG DS 8 1 86400 201604..000 (

A0aGRuQVPtINJNW35bU...S+M0n+G73c= ) rmutX.ac.th. 7200 IN NS ns1.rmutX.ac.th. rmutX.ac.th. 7200 IN NS ns2.rmutX.ac.th. rmutX.ac.th. 7200 IN DS 50136 10 1 (

F31F721509D94F38716...A14CDEC9652 ) rmutX.ac.th. 7200 IN DS 50136 10 2 (

F31F721509D94F38716...34F62092C9F ) rmutX.ac.th. 7200 IN RRSIG DS 8 3 7200 20160424150448 (

IBnM5znJdmZcIT615L5...ehIbQPMSMo= )

www.rmutX.ac.th. 300 IN A 203.158.xxx.xxx www.rmutX.ac.th. 300 IN RRSIG A 10 4 300 201604...46 (

20160328023808 29105 rmutX.ac.th. 4MzziEnoxqphYcNWOyrTkRs...88VuA== )

ใชเครองมอทดสอบจากเวบ http://dnssec-debugger.verisignlabs.com หรอ http://dnsviz.net

31/55


32/55


การกาหนดคณสมบต DNSSEC ของโปรแกรม DNS server ดาน Slave

กรณทมการตดตง DNS server แบบ slave เพอใหบรการในระบบ เมอเปดการทางานของ DNSSEC ในเครอง

master แลว และตองการใหเครอง slave ใหบรการแบบ DNSSEC ดวยนน

จาเปนตองดาเนนการกาหนดใหแมขายดาน slave ดวย

20. การกาหนดคณสมบต DNSSEC บนเครอง Slave

การดาเนนการใหเครองดาน slave นน มขนตอนไมมาก

และมความซบซอนไมมากเทากบการดาเนนการในดานเครอง master

โดยมขนตอนทตางจากการกาหนดคณสมบตทใหบรการ DNS แบบปกตเพยงขนตอนเดยว คอ

การเปดการทางานใหเครอง slave ใหบรการแบบ DNSSEC สวนการสาเนาขอมล zone จาก master

กดาเนนการเหมอนวธการปกต ดาเนนการดงน

Debian vi /etc/bind/named.conf.options

options : // Enable DNSSEC


: ;


options : recursion yes; // Enable DNSSEC


: ;

33/55


แกไขไฟลรายการ zone เพอใหอางถงเครอง master

Debian vi /etc/bind/named.conf.local


type slave; file "rmutX.ac.th.zone"; masters 203.158.xxx.xxx; ; allownotify 203.158.xxx.xxx; ;

;


: include "/etc/named.rfc1912.zones"; include "/etc/named.root.keys"; zone "rmutX.ac.th" IN

type slave; file "rmutX.ac.th.zone"; masters 203.158.xxx.xxx; ; allownotify 203.158.xxx.xxx; ;

;

21. เรมตนการทางานของโปรแกรมใหม

ทกครงทมการแกไขไฟลคณสมบตของโปรแกรม BIND9 จาเปนตองใหโปรแกรมนาไฟลคณสมบตใหมไปใชงาน

หรอสงใหเรมตนทางานของโปรแกรมใหมทกครง


34/55


การบรหารจดการ DNSSEC key

เพอปองกนหรอแกไขการปลอมแปลงขอมล DNS โดยผประสงคราย ผดแลระบบ DNSSEC จงตองดาเนนการกบ

key ทสรางขน หรอทใชงานอยอยางถกตอง โดยตองดาเนนการอยางนอย 2 อยาง คอ การจดเกบ key ใหปลอดภย

และการเปลยนแปลง key

22. การจดเกบ key

ชดของ Key ทใชใน DNSSEC ประกอบดวย 2 key คอ Public key เปน key สาธารณะทมหรอประกาศไวในขอมล

zone หรอ DNSKEY และ Private key เปน key สวนตวทใชในกระบวนการ sign หรอใชโดยผดแล zone Public key: K<zone>+<algorithm_id>+<key_id>.key Private key: K<zone>+<algorithm_id>+<key_id>.private

Key ทใชในการทางานของ DNSSEC หนง zone สามารถมไดมากกวา 1 ชด เชน Zone Signing Key (ZSK) และ

Key Signing Key (KSK) โดยในหนง zone กยงสามารถม ZSK และ KSK ไดมากกวา 1 key อกดวย

ไฟล key ทจาเปนตองจดเกบใหปลอดภยคอ private key โดยมขอแนะนาใหเกบไวในสอแบบออฟไลน

หรอภายนอกระบบ DNS โดยเฉพาะกรณทไมคอยมการเปลยนแปลงขอมลใน zone นน แตการเกบไฟล private

key ภายนอกระบบอาจเกดความยงยากบาง หากผดแลจาเปนตองดาเนนการ sign ขอมล zone อยเสมอ ซงตองใช

private key ประกอบการ sign ทกครง

23. การปรบเปลยน key (Key rollover)

การปรบเปลยน key ทใชใน DNSSEC สามารถกระทาได โดยการเปลยนแปลงมกเกดจาก 2 เหตผล คอ

การเปลยนตามรอบเวลา และการเปลยนเมอ key ทใชนนถกขโมยหรอเปน key อยในสภาพทไมปลอดภยแลว

การเปลยนแปลง key เมอ key ทใชอยถกขโมยหรอ key ไมอยในสภาพทปลอดภยนน

เปนสงทตองดาเนนการโดยทนทเมอตรวจพบ

การปรบเปลยน key ตามรอบเวลานน กเพอปองกนไมใหผประสงครายทพยายามจะถอดรหส

หรอหาวธทางทจะรบรถง private key และอาจประสบผลสาเรจ การปรบเปลยน key ใหมอยเสมอ

จงเปนแนวทางทด ทควรดาเนนการ

35/55


มขอแนะนาในการปรบเปลยน key ตามรอบระยะเวลาทเปนตวอยางทดคอ ควรเปลยนแปลง ZSK

อยเสมอทกเดอน และเปลยนแปลง KSK อยเสมอทกป

เอกสารฉบบนแนะนาวธการปรบเปลยน key แบบ Pre-Publish (rfc6781#section-4.1) หรอนา key

ใหมใหบรการหรอใชงานควบคกบ key เดม มลาดบการดาเนนการโดยยอ ดงน

1. สราง key ใหมและเพมเพมเขาไปใน zone โดยยงคง sign ขอมล zone ดวย key เดม

เพอใหเครองลกขายไดรบ key ใหมไวกอน

2. ทดแทน key เกาดวย key ใหม โดยการ sign ขอมล zone ดวย key ใหม

เครองลกขายสามารถตรวจสอบขอมล zone ไดดวย key ใหมทเคยไดรบไปแลว

3. สนสดดวยการนา key เดมออก โดยการ sign ขอมล zone ดวย key ใหม

24. การปรบเปลยน Zone Signing Key (ZSK)

ขนตอนการดาเนนการเปลยน ZSK จะตองดาเนนการ 3 ขนตอน ตามภาพ โดยภาพรวมของการดาเนนการคอ

ตองนาขอมล ZSK ใหมไปใหบรการพรอมๆ กบ ZSK เกา เพอใหเครองลกขายนา ZSK

ใหมไปเกบใหพรอมกอนการแทนทหรอลบ ZSK เกา

การเปลยน ZSK ควรกระทาใหบอยเทาทเปนไปได เชน ประมาณ เดอนละ 1 ครง หรอ 3 เดอน 1 ครง

ตวอยางตอไปนเปนการเปลยน ZSK ในวนท 1 มกราคม 2017 มลาดบขนของการดาเนนการดงน

36/55


กรณของ DNS server บน Microsoft Windows นน การปรบเปลน ZSK จะไดรบการปรบเปลยนโดยอตโนมต

โดยระยะเวลาการดาเนนการนน เปนไปตามการตวเลอกทเลอกไวในขณะการสราง ZSK ตามขนตอนท 12

โดยเมอเลอกตวเลอก [/] Enable automatic rollover ไว พรอมทงกาหนดรอบเวลาการดาเนนการทตองการ

รอบระยะเวลาทเปนคาตงตนคอ 90 วน หรอมการปรบเปลยน ZSK ทกๆ 90 วน

แตหากตองการดาเนนการเปลยน ZSK ดวยตนเอง กสามารถกระทาไดเชนกน

วนท 1 ธนวาคม 2016 หรอ 1 เดอนกอนการแทนท ZSK ดวย key ใหม

สราง ZSK ใหม ดวยคาสง dnssec-keygen เชนเดยวกบขนตอนท 12 ผลลพธทได จะเกดเปนไฟล key

ชดใหมพรอมทงม key id ใหม

Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


CentOS cd /var/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


นาเขาไฟล ZSK ใหมเพมเขาในไฟล zone อกหนงไฟล เพอใหมการประกาศ ZSK

ใหมไปยงเครองลกขายเพมเตมจาก ZSK เดม

37/55



: ; DNSSEC ZSK KEY

$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key

; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

:


: ; DNSSEC ZSK KEY

$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key

; DNSSEC KSK KEY $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

:

ดาเนนการ sing ขอมล zone โดยยงคงใช ZSK เดม และ KSK เดม ผลการ sign จะมขอมล ZSK ใหมอยในขอมล

zone ดวย

Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key


ZSKs: 1 active, 1 standby, ... /var/cache/bind/rmutX.ac.th.zone.signed

CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \

38/55


/var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...

ZSKs: 1 active, 1 standby, ... /var/named/rmutX.ac.th.zone.signed

เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ



การสราง ZSK ใหมใน DNS server บน Microsoft Windows นน สามารถดาเนนการไดเชนกน

แตเปนการสราง ZSK ขนเปนชดใหม ทดแทนชดเดมทงหมด เพอใหมคณสมบตแตกตางไปจาก ZSK ชดเดมทงหมด

เชน อลกอรทม ขนาดคย และอนๆ มขนตอนคอ



- เลอกคาสง DNSSEC >> Properties…

- คลกแทบ ZSK

- คลกปม Add เพอเพม Zone Signing Key






- เมอสนสดการสราง key จะพบวาม key ใหมอยในรายการ

39/55


เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ ZSK เดม และ ZSK ใหม

อกทงในสวนของ RRSIG แสดงใหเหนวา ขอมล zone ยงคงถก sign โดย ZSK เดมอย

dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutx.ac.th. 1800 IN DNSKEY 256 3 10 (

AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30= ) ; ZSK; alg = RSASHA512; key id = 29105

rmutX.ac.th. 1800 IN DNSKEY 256 3 10 ( AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623

rmutx.ac.th. 1800 IN DNSKEY 257 3 10 (

40/55


AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505125429 20160... 29105 rmutx.ac.th. Ccriv5pG3qSn1x7...T96E3TLlhJrZX60b27nw== )

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505125429 20160... 50136 rmutx.ac.th. cQ8C3yP6ZcMso/e...izytfQptyL/rzvkhm7VA== )

วนท 1 มกราคม 2017 หรอ วนทมการแทนท ZSK ดวย key ใหม

ดาเนนการ sing ขอมล zone โดยใช ZSK ใหม และ KSK เดม ผลการ sign จะยงมขอมล ZSK

เดมคงอยตอไปดวย




CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+30623





41/55



การปรบเปลยน ZSK ดวยตนเอง สามารถดาเนนได การจากความตองการ 2 แบบ จากหนาตางรายการ

ZSK ดงน

- การปรบเปลยนดวย ZSK ชดเดมทมอย โดยการเลอก ZSk ทตองการจากรายการ และคลกปม

Rollover

- การปรบเปลยนดวย ZSK ชดใหมทสรางขนจากขนตอนกอนหนาน โดยการเลอก ZSK

ชดเดมจากรายการ แลวคลกปม Retire และตามดวยการคลกปม Rollover

เมอทดสอบขอมลของ zone ในสวน DNSKEY จะยงพบวาม DNSKEY ของทง ZSK เดมและ ZSK ใหม แตสวนของ

RRSIG ถก sign ดวย ZSK ใหมแลว


AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30=

42/55


) ; ZSK; alg = RSASHA512; key id = 29105 rmutX.ac.th. 1800 IN DNSKEY 256 3 10 (

AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623

rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136

rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20170230000000 20170... 30623 rmutX.ac.th. cZnREXnaHmR3DRt...goib1eraLHN7f6oRDyfw== )

rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160426100323 20160... 50136 rmutX.ac.th. Nz0Sxyut+kjPMT6...c0UXfUm0PjGuM/LtqQkQ== )

วนท 1 กมภาพนธ 2017 หรอ 1 เดอนหลงจากการแทนท ZSK ดวย key ใหม

ลบการอางองไฟล ZSK เกาทเคยเพมเขาในไฟล zone เพอยกเลกการประกาศ ZSK

เกาทเคยใหบรการไปยงเครองลกขาย โดยใหเหลอเพยง ZSK ใหมเทานน


: ; DNSSEC ZSK KEY

;$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key

; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

:


: ; DNSSEC ZSK KEY

;$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key

; DNSSEC KSK KEY $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key

ดาเนนการ sing ขอมล zone โดยการใช ZSK ใหม และ KSK เดม ผลการ sign จะมเฉพาะ ZSK ใหมเทานน

43/55




ZSKs: 1 active, 0 standby, ...

CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+30623.key


ZSKs: 1 active, 0 standby, ...



เมอทดสอบขอมลของ zone ในสวน DNSKEY จะไมพบวาม DNSKEY ของทง ZSK เดมอย คงเหลอแค DNSKEY

ของ ZSK ใหม และสวนของ RRSIG ถก sign ดวย ZSK ใหม

dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutX.ac.th. 1800 IN DNSKEY 256 3 10 (

AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623


rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20170230000000 20170... 30623 rmutX.ac.th.

44/55


cZnREXnaHmR3DRt...goib1eraLHN7f6oRDyfw== ) rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 (

20160426100323 20160... 50136 rmutX.ac.th. Nz0Sxyut+kjPMT6...c0UXfUm0PjGuM/LtqQkQ== )

25. การปรบเปลยน Key Signing Key (KSK)

ขนตอนการดาเนนการเปลยน KSK จะตองดาเนนการ 2 ขนตอน ตามภาพ โดยภาพรวมของการดาเนนการคอ ตอง

sign นาขอมล ดวย KSK เกาและใหมใหบรการพรอมกน แลวจงลบ KSK เกาทงในภายหลง

การเปลยน KSK ควรกระทาประมาณ ปละ 1 ครง อาจจะเปลยนในทกวนแรกของป เชน

ตวอยางตอไปนเปนการเปลยน KSK ในวนท 1 มกราคม 2017

กรณของ DNS server บน Microsoft Windows นน การปรบเปลน KSK จะไดรบการปรบเปลยนโดยอตโนมต

โดยระยะเวลาการดาเนนการนน เปนไปตามการตวเลอกทเลอกไวในขณะการสราง KSK ตามขนตอนท 11

โดยเมอเลอกตวเลอก [/] Enable automatic rollover ไว พรอมทงกาหนดรอบเวลาการดาเนนการทตองการ

รอบระยะเวลาทเปนคาตงตนคอ 755 วน หรอมการปรบเปลยน KSK ทกๆ 755 วน

แตหากตองการดาเนนการเปลยน KSK ดวยตนเอง กสามารถกระทาไดเชนกน

45/55


ลาดบทสนกวาการปรบเปลยน Zone Signing Key มลาดบขนของการดาเนนการดงน

วนท 1 มกราคม 2017 หรอ วนทมการแทนท KSK ดวย key ใหม

สราง KSK ใหม ดวยคาสง dnssec-keygen เชนเดยวกบขนตอนท 11 ผลลพธทได จะเกดเปนไฟล key

ชดใหมพรอมทงม key id ใหม

Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


CentOS cd /etc/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th


นาเขาไฟล KSK ใหมเพมเขาในไฟล zone อกหนงไฟล โดยยงคง KSK เดมไว เพอในไปใชในการ sign ขอมล zone

ควบคระหวาง KSK เดม กบ KSK ใหม


: ; DNSSEC ZSK KEY


$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key

:


:

46/55


; DNSSEC ZSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key

; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key

:

ดาเนนการ sing ขอมล zone โดยยงคงใช KSK key เดม ควบคกบ KSK key ใหม และยงคงตองใช ZSK

ประกอบการ sign ดวย

Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ k KrmutX.ac.th.+010+51419.key N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key



CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ k KrmutX.ac.th.+010+51419.key N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key






47/55


การสราง KSK ใหมใน DNS server บน Microsoft Windows นน สามารถดาเนนการไดเชนกน

แตเปนการสราง KSK ขนเปนชดใหม ทดแทนชดเดมทงหมด เพอใหมคณสมบตแตกตางไปจาก KSK ชดเดมทงหมด

เชน อลกอรทม ขนาดคย และอนๆ มขนตอนคอ



- เลอกคาสง DNSSEC >> Properties…

- คลกแทบ KSK

- คลกปม Add เพอเพม Key Signing Key






- เมอสนสดการสราง key จะพบวาม key ใหมอยในรายการ

48/55


การปรบเปลยน KSK ดวยตนเอง สามารถดาเนนได การจากความตองการ 2 แบบ จากหนาตางรายการ

KSK ดงน

- การปรบเปลยนดวย KSK ชดเดมทมอย โดยการเลอก KSk ทตองการจากรายการ และคลกปม

Rollover

- การปรบเปลยนดวย KSK ชดใหมทสรางขนจากขนตอนกอนหนาน โดยการเลอก KSK

ชดเดมจากรายการ แลวคลกปม Retire และตามดวยการคลกปม Rollover

49/55


เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ KSK key เดม และ KSK ใหม

อกทงในสวนของ RRSIG แสดงใหเหนวา ขอมล zone ถก sign โดยทง KSK เดม และ KSK ใหม




rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbuNlGzggkw...z3TehOUqoC/oVCvdkOFEEzM= ) ; KSK; alg = RSASHA512; key id = 51419

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 29105 rmutx.ac.th. vmxEf7A8i5yEl1w...0aQldN4/wnR5v7z53gJA== )

50/55


rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 50136 rmutx.ac.th. bX/nM2fpSNbFqdA...dTWMfPAdsjSQ3swMylpg== )

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 51419 rmutx.ac.th. ZCTM2hmbpFNC7qX...CgFJlxpKLIwdYE+Vhc+g== )

อานคา Delegation Signer (DS) จากไฟล KSK ใหม จะไดคา DS

ใหมสาหรบนาไปเพมในฐานขอมลผใหบรการโดเมนระดบบน

Debian dnssecdsfromkey \ /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key

rmutX.ac.th. IN DS 51419 10 1 2A9[...]C3AA210 rmutX.ac.th. IN DS 51419 10 2 A24[...]61BB32C 1678102D

CentOS dnssecdsfromkey \ /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key

rmutX.ac.th. IN DS 51419 10 1 2A9[...]C3AA210 rmutX.ac.th. IN DS 51419 10 2 A24[...]61BB32C 1678102D

นาคา Delegation Signer ไปเพมในฐานขอมลผใหบรการ ตามหวขอท 18 โดยยงคงคา Delegation Signer

เดมไวเชนเดม

เมอทดสอบขอมล Delegation Signer จากผใหบรการโดเมนภายนอก เชน จาก 8.8.8.8 จะพบวามขอมล DS

จานวน 2 รายการ มรายการ DS ใหมเพมขนจากเดม

dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 50136 10 1 3BF...5149622 rmutX.ac.th. 7199 IN DS 50136 10 2 C31...119735F 42092A9A rmutX.ac.th. 7199 IN DS 51419 10 1 2A9...C3AA210 rmutX.ac.th. 7199 IN DS 51419 10 2 A24...61BB32C 1678102D

วนท 1 กมภาพนธ 2017 หรอ 1 เดอนหลงจากการแทนท KSK ดวย key ใหม

นาไฟล KSK เดมออกจากไฟล zone โดยยงคง KSK ใหมไว เพอใหการ sign ขอมล zone เกดจาก KSK

ใหมเทานน

51/55



: ; DNSSEC ZSK KEY



:


: ; DNSSEC ZSK KEY



:

ดาเนนการ sing ขอมล zone โดยใชเพยง KSK ใหมเทานน และยงคงตองใช ZSK ประกอบการ sign ดวย

Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+51419.key \ N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key



CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+51419.key \ N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key

52/55






เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ KSK ใหมเทานน อกทงในสวนของ

RRSIG แสดงใหเหนวา ขอมล zone ถก sign เฉพาะจาก KSK ใหมเทานน



rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbuNlGzggkw...z3TehOUqoC/oVCvdkOFEEzM= ) ; KSK; alg = RSASHA512; key id = 51419

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 29105 rmutx.ac.th. vmxEf7A8i5yEl1w...0aQldN4/wnR5v7z53gJA== )

rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 51419 rmutx.ac.th. ZCTM2hmbpFNC7qX...CgFJlxpKLIwdYE+Vhc+g== )

ลบนาคา Delegation Signer เกาออกจากฐานขอมลผใหบรการ ทเคยจดการตามหวขอท 18 โดยยงคงคา

Delegation Signer ใหมไวเชนเดม

เมอทดสอบขอมล Delegation Signer จากผใหบรการโดเมนภายนอก เชน จาก 8.8.8.8 จะพบวามขอมล DS

จานวน 1 รายการ ซงเปน DS ใหม

dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 51419 10 1 2A9...C3AA210 rmutX.ac.th. 7199 IN DS 51419 10 2 A24...61BB32C 1678102D

53/55


ภาคผนวก

ตารางสรปเลขลาดบของ Algorithm และ Digest Type

Algorithm: 3 – DSA/SHA1 5 – RSA/SHA1 6 – DSANSEC3SHA1 7 – RSASHA1NSEC3SHA1 8 – RSA/SHA256 9 – RSA/SHA512

Digest Type: 1 – SHA1 2 – SHA256 3 SHA384

54/55


เครองมอสาหรบทดสอบการทางานของ DNSSEC

ทดสอบดานแมขาย http://dnsviz.net/d/rmuti.ac.th/dnssec http://dnssecdebugger.verisignlabs.com

ทดสอบดานลกขาย http://dnssec.vs.unidue.de

แหลงขอมลอางอง http://users.isc.org/~jreed/dnssecguide/dnssecguide.html https://grepular.com/Understanding_DNSSEC https://www.enisa.europa.eu/activities/ResilienceandCIIP/netwo

rksandservicesresilience/dnssec/gpgdnssec/at_download/fullReport

http://www.thenoccave.com/2013/05/17/dnsseccompletehowtointroduction

http://www.nlnetlabs.nl/publications/dnssec_howto http://www.itnotes.eu/?p=2190 http://strotmann.de/roller/dnsworkshop/entry/dnssec_signing_a_zo

ne_with - http://backreference.org/2010/11/17/dnssecverificationwithdig http://www.dnsschool.org/Documentation/DNSSEC_Key_maintenance.p

df https://tools.ietf.org/html/rfc6781

55/55

Documents

คู มือการติดตั้ง DNSSEC, ประกาย นาดี ......ค ม อการต ดต ง DNSSEC, ประกาย นาด , มทร.อ