Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
คมอการตดตง DNSSEC
บทนา
เอกสารฉบบน ใชประกอบการอบรมเชงปฏบตการ การตดตงหรอปรบแก DNS server ใหรองรบ DNSSEC ในงาน
ARIT-Net 2 ระหวางวนท 28-29 เมษายน 2559 ณ มหาวทยาลยเทคโนโลยราชมงคลศรวชย
มการดาเนนการ 3 สวน ประกอบดวย
การตดตงโปรแกรมบรการขอมลโดเมน
เพอใหระบบ DNS ทางานแบบ DNSSEC ใหบรการขอมลโดเมนสาหรบการรองขอจากภายนอก
เปนขนตอนสาคญ และมขนตอนในการดาเนนการหลายขนตอน หรอเกอบทงหมดของคมอน
การตดตงเพอใหแมขายบรการเครองลกขาย
เปนสวนทจะทาใหการรองขอบรการของลกขายภายในหนวยงานมสวนในการรองขอบรการผานแมขา
ยของหนวยงาน และเปนการทางานแบบ DNSSEC มขนตอนการทางานไมมาก
การใชเครองมอตรวจสอบการทางานของ DNSSEC
รนของระบบปฏบตการ และโปรแกรม DNS server ทใชทดลองตดตง
คาสงและไฟลจะอางองตามระบบปฏบตการและโปรแกรม DNS server จงควรเลอกใชคาสงอยางถกตอง ดงน
Debian 8.3 + BIND9-9.9.5
Radius version checking: named v CentOS 7.2 + BIND9-9.9.4
Radius version checking: named v Microsoft Windows Server 2012
1/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การตดตงโปรแกรมแมขาย และการทดสอบ
เปนขนตอนการตดตงโปรแกรม DNS server
และการดาเนนการพนฐานใหสามารถรองรบการกาหนดคณสมบตของ DNSSEC บนเครองแมขาย ในขนตอนน
อาจะไมตองดาเนนการใดๆ หากเปนการการตดตง DNSSEC บนเครองแมขายทใหบรการ DNS อยแลว
1. อพเกรดแพคเกจลาสดและแพคเกจพนฐาน
Debian aptget update aptget upgrade y
อาจตอง reboot aptget install ntp y
CentOS yum update –y yum upgrade y
อาจตอง reboot yum install ntp y
2. ตดตงแพคเกจ BIND9 และแพคเกจสนบสนน
Debian (Bind9-9.9.5) aptget install bind9 –y aptget install dnsutils y
CentOS (Bind9-9.9.4) yum install bind –y yum install bindutils –y chkconfig named on
Microsoft DNS Server
ไมขอแสดงขนตอนการตดตง
2/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
3. ไดเรกทอรและไฟลคณสมบตของ BIND9
โครงสรางของไดเรกทอรและรายการไฟลคณสมบตตงตนของ BIND9 มดงน
Debian (Bind9-9.9.5) /etc/bind/
named.conf named.conf.options named.conf.defaultzones named.conf.local zones.rfc1918 bind.keys rndc.key
/var/cache/bind/
CentOS (Bind9-9.9.4) /etc/
named/ named.conf named.rfc1912.zones named.iscdlv.key named.root.keys rndc.conf rndc.key
/var/named/
4. เพม zone หรอ domain ใหม
ขนตอนนเปนการเพม domain หรอ zone ชอ rmutX.ac.th สาหรบเปนตวอยางประกอบการตดตง DNSSEC
โดยตาแหนงของไฟลจะอางองตามโครงสรางตงตนของ BIND9 ของแตละระบบปฏบตการ domain
Debian
แกไขไฟลคณสมบตหลก (/etc/bind/named.conf.local) เพอประกาศ zone ใหม vi /etc/bind/named.conf.local
: zone "rmutX.ac.th" IN
type master; file "rmutX.ac.th.zone";
; :
3/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
สรางไฟล zone สาหรบ rmutX.ac.th vi /var/cache/bind/rmutX.ac.th.zone
$TTL 1800 ; 2 hours rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
2016021700 ; serial 7200 ; refresh 3600 ; retry 2419200 ; expire 10800 ; minimum
) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.
$ORIGIN rmutX.ac.th. ns1 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx ns2 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx
CentOS
แกไขไฟลคณสมบตหลก (/etc/named.conf) เพอประกาศ zone ใหม vi /etc/named.conf
: include "/etc/named.rfc1912.zones"; include "/etc/named.root.keys"; zone "rmutX.ac.th" IN
type master; file "rmutX.ac.th.zone";
; :
สรางไฟล zone สาหรบ rmutX.ac.th vi /var/named/rmutX.ac.th.zone
$TTL 1800 ; 2 hours rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
2016021700 ; serial
4/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
7200 ; refresh 3600 ; retry 2419200 ; expire 10800 ; minimum
) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.
$ORIGIN rmutX.ac.th. ns1 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx ns2 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx
Microsoft DNS Server
- เปดโปรแกรมบรหารจดการ DNS
- ชไปยงชอ Forward Lookup Zones จากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส
- เลอกเมน New Zone…
- ดาเนนการตามขนตอน สราง Primary zone
5/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
- กาหนดชอ zone หรอ domain เปน rmutX.ac.th
- กาหนดชอไฟลสาหรบบนทกขอมลของ zone
- ดาเนนการตอไปจนแลวเสรจ
5. เรมตนการทางานของโปรแกรมใหม
ทกครงทมการแกไขไฟลคณสมบตของโปรแกรม BIND9 จาเปนตองใหโปรแกรมนาไฟลคณสมบตใหมไปใชงาน
หรอสงใหเรมตนทางานของโปรแกรมใหมทกครง
Debian & CentOS rndc reload
Debian service bind9 reload
6/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
CentOS service named reload
6. ทดสอบการทางาน
สามารถทดสอบการทางานของ DNS ไดจากคาสง dig
จากตวอยางคาสง ผลทไดจะตองแสดงผลเปนรายการ NS ทประกาศไวสาหรบ rmutX.ac.th ประกอบดวย
ns1.rmutX.ac.th และ ns2. rmutX.ac.th
dig @localhost rmutX.ac.th NS ;; ANSWER SECTION: rmutX.ac.th. 900 IN NS ns1.rmutX.ac.th. rmutX.ac.th. 900 IN NS ns2.rmutX.ac.th. ;; ADDITIONAL SECTION: ns1.rmutX.ac.th. 300 IN A 203.158.xxx.xxx ns1.rmutX.ac.th. 300 IN AAAA 2001:3c8:xxxx::xxxx ns2.rmutX.ac.th. 300 IN A 203.158.xxx.xxx ns2.rmutX.ac.th. 300 IN AAAA 2001:3c8:xxxx::xxxx
7/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การกาหนดคณสมบต DNSSEC
การจะใหโปรแกรม BIND9 ใหบรการทมความสามารถเกยวกบ DNSSEC ไดนน จะตองมการดาเนนการ 3 สวน
หรอ 3 ขนตอน คอ
1) การสราง key สาหรบการ sign ขอมลบรการ โดยใชคาสง dnssec-keygen
จะไดผลลพธเปนไฟลเกบขอมลทเกยวของกบ key จานวน 2 ไฟลตอการสราง key หนงครง
ประกอบดวยไฟลเกบ public key เกบอยในไฟลทมสวนขยายชอไฟล .key และ private key
เกบอยในไฟลทมสวนขยายชอไฟล .private
2) การลงนามรบรอง หรอการ sign ขอมล zone คอการนา key ทไดไปดาเนนการ sign ขอมลในไฟล
zone หรอ domain โดยใชคาสง dnssec-signzone ผลลพธทไดจะเปนไฟล zone
ไฟลใหมทมขอมลเพมจากเดม ใชสาหรบตรวจสอบความถกตองของรายการใน zone
ไฟลผลลพธจะมสวนขยายชอไฟลเปน .signed
3) การกาหนดใหโปรแกรม BIND9 เปดการทางานใหมความสมารถของ DNSSEC และการนา zone
ทผานการ sign แลวจากขนตอนท 2) ไปใหบรการ
Key ทใชงานประกอบดวย 2 keys คอ Zone Signing Key (ZSK) ใชสาหรบการ Sing ขอมล zone ทจะใหบรการ
และ Key Signing Key (KSK) ใชสาหรบการ Sign ใหกบ ZSK
7. กาหนดให DNS server ทางานโดยมความสามารถของ DNSSEC
เพอเปดความสามารถในการทางานเกยวกบ DNSSEC จะตองแกไขไฟลคณสมบตหลกของโปรแกรม
โดยโปรแกรมในบางระบบปฏบตการอาจเปดการทางานเกยวกบ DNSSEC ไวอยแลว
แตยงคงตองปรบแกคณสมบตเพมเตมในบางจด รวมถงตองแกไขคณสมบตเพอใหโปรแกรม BIND9 นาไฟล zone
ทผานการ sign แลวไปใชงานแทนไฟล zone ตนฉบบเดม
Debian vi /etc/bind/named.conf.options
options : // Enable DNSSEC
dnssecenable yes; dnssecvalidation auto;
8/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
// Path to ISC DLV key bindkeysfile "/etc/bind/bind.keys"; managedkeysdirectory "/var/cache/bind";
: ;
CentOS vi /etc/named.conf
options : recursion yes; // Enable DNSSEC
dnssecenable yes; dnssecvalidation auto;
// Path to ISC DLV key bindkeysfile "/etc/named.iscdlv.key"; managedkeysdirectory "/var/named/dynamic";
: ;
Microsoft DNS Server
กรณของ DNS server บน Microsoft Windows นน มการกาหนดให DNSSEC
ทางานเปนคาตงตนอยแลว สามารถตรวจสอบได ดงน
- เปดโปรแกรมบรหารจดการ DNS
- ชไปยงชอเครองแมขาย แลวคลกปมดานขวาของเมาส
- เลอกเมน Properties
9/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
จะพบวา DNS server บน Microsoft Windows server 2012 มการเปดการทางานของ DNSSEC
ไวเปนคาตงตนอยแลว สงเกตไดจากตวเลอก [/] Enable DNSSEC validator for remote responses
อกหนงขนตอนของการดาเนนการให DNS server ใน Microsoft Windows ทางานเกยวกบ DNSSEC
อยางสมบรณคอการเพม root trust anchors ไปใน Trust Point โดยการเพม Delegatin Signer ของ
root เขาไปยง Trust Point แลว DNS server จะนาคา DS เพอรองขอขอมล DNSKEY
เพอนาเขามาอกตอหนง
เนองจากคาของ root trust anchors นนเปลยนแปลงได โดย IANA เปนผปรบเปลยน (ดาวนโหลดไดจาก
https://data.iana.org/root-anchors/root-anchors.xml) จงจาเปนตองตรวจสอบและปรบปรงขอมล
root trust anchors อยเสมอ
ขนตอนการเพม root trust anchors เขาไปยง Trust Point มดงน
- ดาวนโหลด root anchors ท https://data.iana.org/root-anchors/root-anchors.xml
10/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
- เปดโปรแกรมบรหารจดการ DNS
- ชเมาสไปยงรายการ ชอเครองแมขาย แลวคลกปมดานขวาของเมาส
- เลอกเมน Add DS
หมายเหต: ดหมายเลขของ Algorithm และ Digest Type ไดทภาคผนวก
8. แกไขคณสมบตใหนาขอมล zone ทผานการ sign แลวของโดเมน rmutX.ac.th
ขอมล zone ทใหบรการบนระบบ DNSSEC เปนขอมลจะไดจากการ sign ในขนตอนท 14 โดยใช key
ทจะสรางขนในขนตอนท 11 และ 12 ไฟลทผานการ sign แลวจะไดผลลพธเปนไฟล zone
11/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
ทมขอมลประกอบการตรวจสอบความถกตองของขอมลตางๆ ใน zone ตามวธการของ DNSSEC ไฟลทผานการ
sign จะมสวนขยายชอไฟลเปน .signed
แกไขไฟลรายการ zone เพอใหอางไปใชไฟลทผานการ sign แลว แทนการใชไฟล zone ตนฉบบ
Debian vi /etc/bind/named.conf.local
: zone "rmutX.ac.th" IN
type master; file "rmutX.ac.th.zone.signed";
;
CentOS vi /etc/named.conf
: include "/etc/named.root.keys"; zone "rmutX.ac.th" IN
type master; file "rmutX.ac.th.zone.signed";
;
CentOS
ไมมขนตอนการดาเนนการ
9. สรางไดเรกทอรสาหรบจดเกบไฟล key
Key ทใชสาหรบการทางานของ DNSSEC จะมหลาย key สาหรบโปรแกรม BIND9 นน แตละ key
จะถกบนทกไวในไฟลแยกกน รวมถงการบรหารจดการ key ทจะกลาวถงในเอกสารในชวงทาย จะมการสราง key
ขนมาใชพรอมๆ กนอกหลาย key จงควรสรางไดเรกทอรสาหรบเกบไฟลเหลานนไวในตาแหนงเดยวกน
Debian mkdir p /etc/bind/keys/rmutX.ac.th
CentOS mkdir p /etc/named/keys/rmutX.ac.th
12/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
10. การเรมตนการ Sign ขอมล zone ของ DNS server บน Microsoft Windows
สาหรบ DNS Server บน Microsoft Windows นน การดาเนนการเกยวกบ DNSSEC จะแยกกนในแตละ zone
มการดาเนนการในแบบ step-by-step โดยจะเรมตนจากการใชเมน Sign the zone จากนนจะดาเนนการสราง
key ทเกยวของ จนสนสดดวยการ sign ขอมล zone การดาเนนการดงกลาวมขนตอนเรมตนดงน
- เปดโปรแกรมบรหารจดการ DNS
- ชเมาสไปยงชอ zone จากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส
- เลอกเมน DNSSEC >> Sign the zone
- ทาความเขาใจสงทกาลงจะดาเนนการเกยวกบ DNSSEC
- เลอกดาเนนการ Sign แบบปรบแตงเอง (Customize zone signing parameters)
13/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
11. สราง Key Signing Key (KSK)
เปนการสราง key สาหรบใชในการ sign ขอมล DNSKEY (หรอ singn ใหกบ ZSK อกท) สรางโดยใชคาสง
dnssec-keygen ดงน dnsseckeygen [options] zone_name
options
f KSK กาหนดใหสราง KSK key
a เลอกใชอลกอรทม
b กาหนดขนาดของ key
n กาหนดใหสราง key เพอใชกบขอมลแบบใด
Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+50136
CentOS cd /etc/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+50136
รายการไฟลทไดจากคาสง dnssec-keygen จะประกอบดวย 2 ไฟล คอ ขนตนดวย K ตามดวยชอ zone ตามดวย
algorithm id และ key id โดยไฟลทไดมสวนขยายชอไฟลเปน .key สาหรบเกบ public key
และสวนขยายชอไฟลเปน .private สาหรบเกบ private key มรปแบบ คอ K<zone>.+<algorithm_id>+key_id.key K<zone>.+<algorithm_id>+key_id.private
Debian ls l /etc/bind/keys/rmutX.ac.th
KrmutX.ac.th.+010+50136.key KrmutX.ac.th.+010+50136.private
14/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
CentOS ls l /etc/named/keys/rmutX.ac.th
KrmutX.ac.th.+010+50136.key KrmutX.ac.th.+010+50136.private
เนอหาในไฟล public key ของ Key Signing Key
Debian cat /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
; This is a keysigning key, keyid 50136, for rmutX.ac.th. ; Created: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Publish: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Activate: 20160218160014 (Thu Feb 18 23:00:14 2016) rmutX.ac.th. IN DNSKEY 257 3 10 XwEAAeMBSmZ...42P0edD404tK qMKEgEn3wcGg7g3sPbION39qUk2iCMrwsdFCX0ZBc5... ZVb+1dnnbD2=
CentOS cat /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
; This is a keysigning key, keyid 50136, for rmutX.ac.th. ; Created: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Publish: 20160218160014 (Thu Feb 18 23:00:14 2016) ; Activate: 20160218160014 (Thu Feb 18 23:00:14 2016) rmutX.ac.th. IN DNSKEY 257 3 10 XwEAAeMBSmZ...42P0edD404tK qMKEgEn3wcGg7g3sPbION39qUk2iCMrwsdFCX0ZBc5... ZVb+1dnnbD2=
Microsoft DNS Server
การสราง Key Signing Key ของ DNS server บน Microsoft Windows นน
จะดาเนนการตอจากขนตอนท 10 ทผานมา มขนตอนของการดาเนนการเปนแบบ step-by-step เชนเดม
ดงน
- ทาความเขาใจกบการสราง Key Signing Key
- คลกปม Add เพอเพม Key Signing Key โดยจะสามารถม Key Signing Key ไดมากกวา 1
รายการ
- กาหนดตวเลอกในการสราง key ประกอบดวย
15/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
- Key Properties: เลอกคณสมบตการเขารหสทเหมาะสม เชน RSA/SHA-512
เลอกความยาวของ key หรอใชคาตงตนเปน 2048 สวนตวเลอกอน ๆ ทเหลอ
ใหใชคาตงตนของโปรแกรม
- Key Rollover: เลอกใชจากคาตงตนของโปรแกรม
- เมอสนสดการสราง key จะพบวาม key อยในรายการ
จะสามารถดาเนนการอนในภายหลงได เชน ลบ หรอแกไข เปนตน
16/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
12. สราง Zone Signing Key (ZSK)
เปนการสราง key สาหรบใชในการ sign รายการขอมล หรอ Record ตางๆ ของ zone เชน SOA เปนตน
สรางไดโดยใชคาสง dnssec-keygen เชนเดยวกบการสราง KSK ตามขนตอนลาดบท 11 เพยงแตประเภทของ key
ทจะสราง หรอไมตองระบ -k KSK ดาเนนการดงน dnsseckeygen [options] zone_name
options
a เลอกใชอลกอรทม
b กาหนดขนาดของ key
n กาหนดใหสราง key เพอใชกบขอมลแบบใด
Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+29105
CentOS cd /var/named/keys/rmutX..ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+29105
รายการไฟลทไดจากคาสง dnssec-keygen จะประกอบดวย 2 ไฟล และมรปแบบเชนเดยวกบการสราง KSK
ตามขนตอนท 11 มรปแบบ คอ K<zone>.+<algorithm_id>+key_id.key K<zone>.+<algorithm_id>+key_id.private
Debian ls l /etc/bind/keys/rmutX.ac.th
KrmutX.ac.th.+010+29105.key KrmutX.ac.th.+010+29105.private
17/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
CentOS ls l /var/named/keys/rmutX.ac.th
KrmutX.ac.th.+010+29105.key KrmutX.ac.th.+010+29105.private
เนอหาในไฟล Zone Signing Key
Debian cat /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key
; This is a zonesigning key, keyid 29105, for rmutX... ; Created: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Publish: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Activate: 20160218160039 (Thu Feb 18 23:00:39 2016) rmutX.ac.th. IN DNSKEY 256 3 10 XwEAAezAq8g...90nxD+YCULg9 PaVyANuSl8H8mR1/FMr8Hcttlt1n3rjyS1uQYA0lSr... ZxddFJrmAbe=
CentOS cat /var/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key
; This is a zonesigning key, keyid 29105, for rmutX... ; Created: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Publish: 20160218160039 (Thu Feb 18 23:00:39 2016) ; Activate: 20160218160039 (Thu Feb 18 23:00:39 2016) rmutX.ac.th. IN DNSKEY 256 3 10 XwEAAezAq8g...90nxD+YCULg9 PaVyANuSl8H8mR1/FMr8Hcttlt1n3rjyS1uQYA0lSr... ZxddFJrmAbe=
Microsoft DNS Server
การสราง Zone Signing Key ของ DNS server บน Microsoft Windows
จะดาเนนการตอจากขนตอนการสราง Key Signing Key ขนตอนท 11 ทผานมา
และมขนตอนของการดาเนนการเปนแบบ step-by-step เชนเดม ดงน
- ทาความเขาใจกบการสราง Zone Signing Key
- คลกปม Add เพอเพม Zone Signing Key โดยจะสามารถม Zone Signing Key ไดมากกวา 1
รายการ
- กาหนดตวเลอกในการสราง key ประกอบดวย
18/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
- Key Properties: เลอกคณสมบตการเขารหสทเหมาะสม เชน RSA/SHA-512
เลอกความยาวของ key หรอใชคาตงตนเปน 2048 สวนตวเลอกอน ๆ ทเหลอ
ใหใชคาตงตนของโปรแกรม
- Key Rollover: เลอกใชจากคาตงตนของโปรแกรม
- เมอสนสดการสราง key จะพบวาม key อยในรายการ
จะสามารถดาเนนการอนในภายหลงได เชน ลบ หรอแกไข เปนตน
19/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
13. แกไขไฟลขอมล zone เพอเพมหรอนาเขาขอมล DNSSEC keys
เพอเปนการกาหนดวา zone ใดใช key ใดประกอบการตรวจสอบขอมล จงตองนาเขา key หรออางถงไฟล key
ทตองการ โดยแกไขไฟล zone เพอนาขอมล key เขาไปภายใน ในทนจะใชวธการ INCLUDE
หรอนาเขาขอมลดวยการอางองไปทไฟลทเกบ key โดยตรง Key ทนาเขาไปใชใน zone จะตองมทง ZSK key
และ KSK key
Debian vi /var/cache/bind/rmutX.ac.th.zone
$TTL 1800 ; 2 hours rmutX.ac.th IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
: ) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.
; DNSSEC ZSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
$ORIGIN rmutX.ac.th. ns1 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx :
CentOS vi /var/named/rmutX.ac.th.zone
$TTL 1800 ; 2 hours rmutX.ac.th IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
: ) NS ns1.rmutX.ac.th. NS ns2.rmutX.ac.th.
; DNSSEC ZSK KEY
$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY
$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
20/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
$ORIGIN rmutX.ac.th. ns1 A 203.158.xxx.xxx
AAAA 2001:3c8:xxxx::xxxx :
14. ดาเนนการ Sign ใหขอมล zone
ขอมล zone ทใหบรการบนระบบ DNSSEC ตองเปนขอมลทผานการ sign โดย key
ทไดสรางไวแลวจากดาเนนการขอ 11 และ 12 ขนตอนนเปนการ sign ใหกบขอมลไฟล zone ตนฉบบ
และจะไดผลลพธเปนไฟล zone ทผานการ sign แลว ถาตองการแกไขขอมล zone เพมเตมในภายหลง เชน
การเพม record ใน zone ใหแกไขทไฟล zone ตนฉบบ ตามวธการปกตของการจดการขอมล zone
และในขนสดทาย จะตองดาเนนการ sign ขอมลไฟล zone ใหมทกครง การ sign ขอมล zone
ดาเนนการโดยใชคาสง dnssec-signzone ดงน
dnssecsignzone [options] zone_file [ZSK_file ZSK_file ...]
options
k กาหนดให sign โดยไฟล KSK ใด
N increment กาหนดใหนบเพมเลข serial จาก zone ตนฉบบ
o กาหนด ORIGIN ในไฟลผลลพธ
t แสดงสถตหลงการทางาน
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 0 standby, … /var/cache/bind/rmutx.ac.th.zone.signed
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
21/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 0 standby, … /var/named/rmutx.ac.th.zone.signed
รายการไฟลทไดหลงการ sign ขอมล zone จะมไฟลเกดขนใหม 2 ไฟล คอไฟลทผานการ sign
มสวนขยายชอไฟลเปน .signed และไฟลทมขอมลของ Delegation Signer (DS) ชอไฟล dsset-<zone>.
Debian ls l /var/cache/bind
rmutX.ac.th.zone rmutX.ac.th.zone.signed
ls l /etc/bind/keys/rmutX.ac.th dssetrmutX.ac.th.
CentOS ls l /var/named
rmutX.ac.th.zone rmutX.ac.th.zone.signed
ls l /etc/named/keys/rmutX.ac.th dssetrmutX.ac.th.
Microsoft DNS Server
เปนขนตอนสดทายของ DNS server บน Microsoft Windows หลงจากดาเนนการสราง Key Signing Key และ
Zone Signing Key มาแลว การดาเนนการขนสดทายนคอขนการ sign ขอมล zone มขนตอนดงน
- เลอกรนของ Next Secure (NSEC) เปน NSEC3
- เลอก Enable the distribution of trust anchors for this zone เพอใหโปรแกรมเพม zone
นเขาเปนสวนหนงของ trust anchor ของระบบ
- ในการสราง DS record เลอกกระบวนการ SHA-384 กรณทมขอมลใน zone ไมมาก
- ดาเนนการตอไปจนแลวเสรจ
22/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
15. เรมตนการทางานของโปรแกรม BIND9 ใหม
หลงจากแกไข zone และดาเนนการ sign ขอมล zone แลว สาหรบโปรแกรม BIND9
ตองเรมตนทางานโปรแกรมใหมทกครง
Debian & CentOS rndc reload
16. ทดสอบการทางาน
สามารถทดสอบการทางานของ DNS ไดจากคาสง dig ในขนตอนน เปนการทดสอบการทางานทเกยวของกบ
DNSSEC ภายในตวเครองกอน โดยยงไมเกยวของกบโดเมนระดบบน
23/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
dig @localhost rmutX.ac.th SOA +dnssec +multiline ;; ANSWER SECTION: rmutX.ac.th. 1800 IN SOA ns1.rmutX.ac.th. noc.rmutX... (
2016032899 ; serial : 10800 ; minimum (3 hours) )
rmutX.ac.th. 1800 IN RRSIG SOA 10 3 1800 ( 20160426125413 20160327115413 29105 rmutX... vmGZKTi2wflaxZpbZL+...baoBXN87kEcr14QS9AG1w== )
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline
;; ANSWER SECTION: rmutX.ac.th. 300 IN DNSKEY 256 3 10 (
AwEAAezAq8gwo7GOPmi...jcK7xR2tFgzTz3jxddFJrmAbk= ) ; ZSK; alg = NSEC3RSASHA1; key id = 29105
rmutX.ac.th. 300 IN DNSKEY 257 3 10 ( AwEAAeMBSmZydZ/J+VT...L0BUx/bfAR8DdUSVb+1dnnbDE= ) ; KSK; alg = NSEC3RSASHA1; key id = 50136
rmutX.ac.th. 300 IN RRSIG DNSKEY 10 3 300 ( 20160402032333 20160303032333 29105 rmutX.ac.th. kDAZR7gi+AHshZI4XIt...NbnB86uOuAPxVj/ggHU++Q== )
rmutX.ac.th. 300 IN RRSIG DNSKEY 10 3 300 ( 20160402032333 20160303032333 50136 rmutX.ac.th. jecrWaP4pBZFUde3jgi...TlGCrZUZlPgdfpWVDASG0Q== )
24/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การเพมขอมล Delegation Signer (DS) ในขอมลผใหบรการจดทะเบยนโดเมน
ขนตอนน เปนการสรางความสมพนธกนระหวางผใหบรการ domain ระดบบน กบผใหบรการระดบยอยถดไป
โดยตองเอาขอมล Delegation Siner จากผใหบรการ domain ระดบยอย
ไปเพมในระบบการทางานของผใหบรการ domain ระดบบน
ขอมล Delegation Signer จะอยในไฟล dsset-<domain>. ทไดจากการ sign ขอมล zone ในขนตอนกอนหนาน
ทกครงทมการ sign ขอมล zone ดวย KSK เดม คาในไฟล dsset-<domain>. จะไมเปลยนแปลง ดงนน
ทกครงทมการแกไขขอมลใน zone และดาเนนการ sign ขอมล zone ใหม ไมจาเปนตองแกไข Delegation
Signer ทผใหบรการ domain ระดบบน
แตหากมการสราง KSK ขนมาใชงานเปน key ใหม เมอดาเนนการ sign ขอมล zone เรยบรอยแลว
จะตองนาขอมล Delegation Signer ไปปรบปรงทผใหบรการ domain ระดบบนดวย
17. การอานคา Delegation Signer (DS)
สามารถอานคา Delegation Signer ได 2 วธ คอ ใชคาสง dnssec-dsfromkey เพอคานวนคา DS จากไฟล
public key ของ KSK หรอ เปดดเนอหาในไฟล dsset-<zone> ทงน ไฟล dsset-<zone>
จะเกดขนหลงจากการ sign ขอมล zone แลวเทานน มรปแบบคาสงดงน dnssecdsfromkey [options] keyfile
Debian dnssecdsfromkey \ /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
rmutX.ac.th. IN DS 50136 10 1 3B05...A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A
ดในไฟลทเปนผลมาจาก sign ขอมล zone cat /etc/bind/keys/rmutX.ac.th/dssetrmutX.ac.th.
rmutX.ac.th. IN DS 50136 10 1 3B05..A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A
25/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
CentOS dnssecdsfromkey \ /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+007+50136.key
rmutX.ac.th. IN DS 50136 10 1 3B05...A72 rmutX.ac.th. IN DS 50136 10 2 C350...38F 4229A
ดในไฟลทเปนผลมาจาก sign ขอมล zone cat /etc/named/keys/rmutX.ac.th/dssetrmutX.ac.th.
rmutX.ac.th. IN DS 50136 10 1 3B05[...]A72 rmutX.ac.th. IN DS 50136 10 2 C350[...]38F 4229A
Microsoft DNS Server
ขอมล Delegation Signer (DS) ของ DNS server บน Microsoft Windows นน มขนหลงจากการ sign
ขอมล zone แลวเชนกน ตามขนตอนท 14 ทผานมา ขอมล DS จะถกบนทกไวเปนแบบขอความในไฟล
C:\Windows\System32\dns\dsset-<zone>
18. เพมขอมล Delegation Signer (DS) ในฐานขอมลผใหบรการระดบบน
ผใหบรการขอมลโดเมนระดบบน หรอโปรแกรม DNS server แตละโปรแกรม
มวธการหรอชองทางการทตางกนในการนาขอมล Delegation Signer (DS) จงตองสอบถามจากผใหบรการ
หรอศกษาจากวธการใชโปรแกรมนนๆ
26/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
กรณใชบรการ THNIC เปนผใหบรการโดเมนระดบบน
THNIC มชองทางสาหรบใหลกคาเขาไปบรหารจดการโดเมนของตน ผานบรการบนเวบไซตของ บรษท
มขนตอนดงน
เรมจากการเปดเวบไซตผใหบรการจดทะเบยนโดเมน http://www.thnic.co.th และดาเนนการตอไปตามลาดบ
คลกปม Member Login เพอเรมตนการเขาระบบบรหารจดการ
กรอกชอบญชและรหสผานเพอลงชอเขาระบบ
27/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
คลกลงค My Domain เพอจดการขอมลโดเมน
คลก แกไข DNSSEC จากรายการโดเมนทตองการแกไข เพอแกไขขอมลทเกยวของกบ DNSSEC
นาขอมลจากไฟล Delegation Signer (DS) ทไดจากขนตอนท 17 เพมเขาไปในรายการ DS จากนนใหคลกเลอก
ใช, ตองการแกไขขอมลโดเมน แลวสนสดดวยการคลกปม Add ทงน ตองเพมราย DS ทง 2 รายการ ตามลาดบ
28/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
กรณผใหบรการโดเมนระดบบนเปนโปรแกรม BIND9
ใหนาคาเนอหา Delegation Singer (DS) ทไดจากขนตอนท 17 ไปเพมในไฟล zone ของโปรแกรม BIND9
ของใหผบรการระดบบน เชน นา DS ของ sub.rmutX.ac.th ไปเพมในไฟล zone ของ rmutX.ac.th
Debian vi /var/cache/bind/rmutX.ac.th.zone
rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
2016032899 ; serial : 10800 ; minimum (3 hours) )
sub.rmutX.ac.th. IN DS 50136 10 1 3BF...5149622 sub.rmutX.ac.th. IN DS 50136 10 2 C31...119735F 42092A9A
CentOS vi /var/named/rmutX.ac.th.zone
rmutX.ac.th. IN SOA ns1.rmutX.ac.th. noc.rmutX.ac.th. (
2016032899 ; serial : 10800 ; minimum (3 hours) )
sub.rmutX.ac.th. IN DS 50136 10 1 3BF...5149622 sub.rmutX.ac.th. IN DS 50136 10 2 C31...119735F 42092A9A
กรณผใหบรการโดเมนระดบบนเปนโปรแกรม DNS server บน Microsoft Windows
การเพม Delegation Signer (DS) ใหกบ DNS server บน Microsoft Windows นน ใชการเพม DS record
เขาไปใน zone ระดบบน เชน นา DS ของ sub.rmutX.ac.th ไปเพมในไฟล zone ของ rmutX.ac.th
มขนตอนของการดาเนน ดงน
- เปดโปรแกรมบรหารจดการ DNS
- ชเมาสไปยงชอ zone ระดบบนจากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส
- เลอกเมน Other New Records…
- เลอก Delegation Signer (DS) จากรายการ record type:
29/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
- เพมขอมล Delegation Signer ของ zone ระดบลางทตองการ
19. การทดสอบการทางานของ DNSSEC
สามารถทดสอบการทางานของ DNS ไดจากคาสง dig ดงน
ทดสอบขอมล Delegation Signer (DS)
dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 50136 10 1 3BF...5149622 rmutX.ac.th. 7199 IN DS 50136 10 2 C31...119735F 42092A9A
30/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
ทดสอบขอมล A ตามลาดบการใหบรการจากระดบบนสด dig @8.8.8.8 www.rmutX.ac.th A +dnssec +trace +multiline
. 15968 IN NS h.rootservers.net.
: . 15968 IN RRSIG NS 8 0 518400 201604..000 (
tJricQz25bdoSt8B1aF...vTGVQjJ15I= ) th. 172800 IN NS a.thains.co.th.
: th. 86400 IN DS 31159 8 2 (
B93A04EDD2B7DA8726B...DC86B1F6FB9 ) th. 86400 IN RRSIG DS 8 1 86400 201604..000 (
A0aGRuQVPtINJNW35bU...S+M0n+G73c= ) rmutX.ac.th. 7200 IN NS ns1.rmutX.ac.th. rmutX.ac.th. 7200 IN NS ns2.rmutX.ac.th. rmutX.ac.th. 7200 IN DS 50136 10 1 (
F31F721509D94F38716...A14CDEC9652 ) rmutX.ac.th. 7200 IN DS 50136 10 2 (
F31F721509D94F38716...34F62092C9F ) rmutX.ac.th. 7200 IN RRSIG DS 8 3 7200 20160424150448 (
IBnM5znJdmZcIT615L5...ehIbQPMSMo= )
www.rmutX.ac.th. 300 IN A 203.158.xxx.xxx www.rmutX.ac.th. 300 IN RRSIG A 10 4 300 201604...46 (
20160328023808 29105 rmutX.ac.th. 4MzziEnoxqphYcNWOyrTkRs...88VuA== )
ใชเครองมอทดสอบจากเวบ http://dnssec-debugger.verisignlabs.com หรอ http://dnsviz.net
31/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
32/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การกาหนดคณสมบต DNSSEC ของโปรแกรม DNS server ดาน Slave
กรณทมการตดตง DNS server แบบ slave เพอใหบรการในระบบ เมอเปดการทางานของ DNSSEC ในเครอง
master แลว และตองการใหเครอง slave ใหบรการแบบ DNSSEC ดวยนน
จาเปนตองดาเนนการกาหนดใหแมขายดาน slave ดวย
20. การกาหนดคณสมบต DNSSEC บนเครอง Slave
การดาเนนการใหเครองดาน slave นน มขนตอนไมมาก
และมความซบซอนไมมากเทากบการดาเนนการในดานเครอง master
โดยมขนตอนทตางจากการกาหนดคณสมบตทใหบรการ DNS แบบปกตเพยงขนตอนเดยว คอ
การเปดการทางานใหเครอง slave ใหบรการแบบ DNSSEC สวนการสาเนาขอมล zone จาก master
กดาเนนการเหมอนวธการปกต ดาเนนการดงน
Debian vi /etc/bind/named.conf.options
options : // Enable DNSSEC
dnssecenable yes; dnssecvalidation auto;
: ;
CentOS vi /etc/named.conf
options : recursion yes; // Enable DNSSEC
dnssecenable yes; dnssecvalidation auto;
: ;
33/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
แกไขไฟลรายการ zone เพอใหอางถงเครอง master
Debian vi /etc/bind/named.conf.local
: zone "rmutX.ac.th" IN
type slave; file "rmutX.ac.th.zone"; masters 203.158.xxx.xxx; ; allownotify 203.158.xxx.xxx; ;
;
CentOS vi /etc/named.conf
: include "/etc/named.rfc1912.zones"; include "/etc/named.root.keys"; zone "rmutX.ac.th" IN
type slave; file "rmutX.ac.th.zone"; masters 203.158.xxx.xxx; ; allownotify 203.158.xxx.xxx; ;
;
21. เรมตนการทางานของโปรแกรมใหม
ทกครงทมการแกไขไฟลคณสมบตของโปรแกรม BIND9 จาเปนตองใหโปรแกรมนาไฟลคณสมบตใหมไปใชงาน
หรอสงใหเรมตนทางานของโปรแกรมใหมทกครง
Debian & CentOS rndc reload
34/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การบรหารจดการ DNSSEC key
เพอปองกนหรอแกไขการปลอมแปลงขอมล DNS โดยผประสงคราย ผดแลระบบ DNSSEC จงตองดาเนนการกบ
key ทสรางขน หรอทใชงานอยอยางถกตอง โดยตองดาเนนการอยางนอย 2 อยาง คอ การจดเกบ key ใหปลอดภย
และการเปลยนแปลง key
22. การจดเกบ key
ชดของ Key ทใชใน DNSSEC ประกอบดวย 2 key คอ Public key เปน key สาธารณะทมหรอประกาศไวในขอมล
zone หรอ DNSKEY และ Private key เปน key สวนตวทใชในกระบวนการ sign หรอใชโดยผดแล zone Public key: K<zone>+<algorithm_id>+<key_id>.key Private key: K<zone>+<algorithm_id>+<key_id>.private
Key ทใชในการทางานของ DNSSEC หนง zone สามารถมไดมากกวา 1 ชด เชน Zone Signing Key (ZSK) และ
Key Signing Key (KSK) โดยในหนง zone กยงสามารถม ZSK และ KSK ไดมากกวา 1 key อกดวย
ไฟล key ทจาเปนตองจดเกบใหปลอดภยคอ private key โดยมขอแนะนาใหเกบไวในสอแบบออฟไลน
หรอภายนอกระบบ DNS โดยเฉพาะกรณทไมคอยมการเปลยนแปลงขอมลใน zone นน แตการเกบไฟล private
key ภายนอกระบบอาจเกดความยงยากบาง หากผดแลจาเปนตองดาเนนการ sign ขอมล zone อยเสมอ ซงตองใช
private key ประกอบการ sign ทกครง
23. การปรบเปลยน key (Key rollover)
การปรบเปลยน key ทใชใน DNSSEC สามารถกระทาได โดยการเปลยนแปลงมกเกดจาก 2 เหตผล คอ
การเปลยนตามรอบเวลา และการเปลยนเมอ key ทใชนนถกขโมยหรอเปน key อยในสภาพทไมปลอดภยแลว
การเปลยนแปลง key เมอ key ทใชอยถกขโมยหรอ key ไมอยในสภาพทปลอดภยนน
เปนสงทตองดาเนนการโดยทนทเมอตรวจพบ
การปรบเปลยน key ตามรอบเวลานน กเพอปองกนไมใหผประสงครายทพยายามจะถอดรหส
หรอหาวธทางทจะรบรถง private key และอาจประสบผลสาเรจ การปรบเปลยน key ใหมอยเสมอ
จงเปนแนวทางทด ทควรดาเนนการ
35/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
มขอแนะนาในการปรบเปลยน key ตามรอบระยะเวลาทเปนตวอยางทดคอ ควรเปลยนแปลง ZSK
อยเสมอทกเดอน และเปลยนแปลง KSK อยเสมอทกป
เอกสารฉบบนแนะนาวธการปรบเปลยน key แบบ Pre-Publish (rfc6781#section-4.1) หรอนา key
ใหมใหบรการหรอใชงานควบคกบ key เดม มลาดบการดาเนนการโดยยอ ดงน
1. สราง key ใหมและเพมเพมเขาไปใน zone โดยยงคง sign ขอมล zone ดวย key เดม
เพอใหเครองลกขายไดรบ key ใหมไวกอน
2. ทดแทน key เกาดวย key ใหม โดยการ sign ขอมล zone ดวย key ใหม
เครองลกขายสามารถตรวจสอบขอมล zone ไดดวย key ใหมทเคยไดรบไปแลว
3. สนสดดวยการนา key เดมออก โดยการ sign ขอมล zone ดวย key ใหม
24. การปรบเปลยน Zone Signing Key (ZSK)
ขนตอนการดาเนนการเปลยน ZSK จะตองดาเนนการ 3 ขนตอน ตามภาพ โดยภาพรวมของการดาเนนการคอ
ตองนาขอมล ZSK ใหมไปใหบรการพรอมๆ กบ ZSK เกา เพอใหเครองลกขายนา ZSK
ใหมไปเกบใหพรอมกอนการแทนทหรอลบ ZSK เกา
การเปลยน ZSK ควรกระทาใหบอยเทาทเปนไปได เชน ประมาณ เดอนละ 1 ครง หรอ 3 เดอน 1 ครง
ตวอยางตอไปนเปนการเปลยน ZSK ในวนท 1 มกราคม 2017 มลาดบขนของการดาเนนการดงน
36/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
กรณของ DNS server บน Microsoft Windows นน การปรบเปลน ZSK จะไดรบการปรบเปลยนโดยอตโนมต
โดยระยะเวลาการดาเนนการนน เปนไปตามการตวเลอกทเลอกไวในขณะการสราง ZSK ตามขนตอนท 12
โดยเมอเลอกตวเลอก [/] Enable automatic rollover ไว พรอมทงกาหนดรอบเวลาการดาเนนการทตองการ
รอบระยะเวลาทเปนคาตงตนคอ 90 วน หรอมการปรบเปลยน ZSK ทกๆ 90 วน
แตหากตองการดาเนนการเปลยน ZSK ดวยตนเอง กสามารถกระทาไดเชนกน
วนท 1 ธนวาคม 2016 หรอ 1 เดอนกอนการแทนท ZSK ดวย key ใหม
สราง ZSK ใหม ดวยคาสง dnssec-keygen เชนเดยวกบขนตอนท 12 ผลลพธทได จะเกดเปนไฟล key
ชดใหมพรอมทงม key id ใหม
Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+30623
CentOS cd /var/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+30623
นาเขาไฟล ZSK ใหมเพมเขาในไฟล zone อกหนงไฟล เพอใหมการประกาศ ZSK
ใหมไปยงเครองลกขายเพมเตมจาก ZSK เดม
37/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Debian vi /var/cache/bind/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key
; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
:
CentOS vi /var/named/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key
; DNSSEC KSK KEY $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
:
ดาเนนการ sing ขอมล zone โดยยงคงใช ZSK เดม และ KSK เดม ผลการ sign จะมขอมล ZSK ใหมอยในขอมล
zone ดวย
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/cache/bind/rmutX.ac.th.zone.signed
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \
38/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
/var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/named/rmutX.ac.th.zone.signed
เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ
Debian & CentOS rndc reload
Microsoft DNS Server
การสราง ZSK ใหมใน DNS server บน Microsoft Windows นน สามารถดาเนนการไดเชนกน
แตเปนการสราง ZSK ขนเปนชดใหม ทดแทนชดเดมทงหมด เพอใหมคณสมบตแตกตางไปจาก ZSK ชดเดมทงหมด
เชน อลกอรทม ขนาดคย และอนๆ มขนตอนคอ
- เปดโปรแกรมบรหารจดการ DNS
- ชเมาสไปยงชอ zone ระดบบนจากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส
- เลอกคาสง DNSSEC >> Properties…
- คลกแทบ ZSK
- คลกปม Add เพอเพม Zone Signing Key
- กาหนดตวเลอกในการสราง key ประกอบดวย
- Key Properties: เลอกคณสมบตการเขารหสทเหมาะสม เชน RSA/SHA-512
เลอกความยาวของ key หรอใชคาตงตนเปน 2048 สวนตวเลอกอน ๆ ทเหลอ
ใหใชคาตงตนของโปรแกรม
- Key Rollover: เลอกใชจากคาตงตนของโปรแกรม
- เมอสนสดการสราง key จะพบวาม key ใหมอยในรายการ
39/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ ZSK เดม และ ZSK ใหม
อกทงในสวนของ RRSIG แสดงใหเหนวา ขอมล zone ยงคงถก sign โดย ZSK เดมอย
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutx.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30= ) ; ZSK; alg = RSASHA512; key id = 29105
rmutX.ac.th. 1800 IN DNSKEY 256 3 10 ( AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 (
40/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505125429 20160... 29105 rmutx.ac.th. Ccriv5pG3qSn1x7...T96E3TLlhJrZX60b27nw== )
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505125429 20160... 50136 rmutx.ac.th. cQ8C3yP6ZcMso/e...izytfQptyL/rzvkhm7VA== )
วนท 1 มกราคม 2017 หรอ วนทมการแทนท ZSK ดวย key ใหม
ดาเนนการ sing ขอมล zone โดยใช ZSK ใหม และ KSK เดม ผลการ sign จะยงมขอมล ZSK
เดมคงอยตอไปดวย
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+30623.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/cache/bind/rmutX.ac.th.zone.signed
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+30623
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/named/rmutX.ac.th.zone.signed
เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ
Debian & CentOS rndc reload
41/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Microsoft DNS Server
การปรบเปลยน ZSK ดวยตนเอง สามารถดาเนนได การจากความตองการ 2 แบบ จากหนาตางรายการ
ZSK ดงน
- การปรบเปลยนดวย ZSK ชดเดมทมอย โดยการเลอก ZSk ทตองการจากรายการ และคลกปม
Rollover
- การปรบเปลยนดวย ZSK ชดใหมทสรางขนจากขนตอนกอนหนาน โดยการเลอก ZSK
ชดเดมจากรายการ แลวคลกปม Retire และตามดวยการคลกปม Rollover
เมอทดสอบขอมลของ zone ในสวน DNSKEY จะยงพบวาม DNSKEY ของทง ZSK เดมและ ZSK ใหม แตสวนของ
RRSIG ถก sign ดวย ZSK ใหมแลว
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutx.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30=
42/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
) ; ZSK; alg = RSASHA512; key id = 29105 rmutX.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136
rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20170230000000 20170... 30623 rmutX.ac.th. cZnREXnaHmR3DRt...goib1eraLHN7f6oRDyfw== )
rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160426100323 20160... 50136 rmutX.ac.th. Nz0Sxyut+kjPMT6...c0UXfUm0PjGuM/LtqQkQ== )
วนท 1 กมภาพนธ 2017 หรอ 1 เดอนหลงจากการแทนท ZSK ดวย key ใหม
ลบการอางองไฟล ZSK เกาทเคยเพมเขาในไฟล zone เพอยกเลกการประกาศ ZSK
เกาทเคยใหบรการไปยงเครองลกขาย โดยใหเหลอเพยง ZSK ใหมเทานน
Debian vi /var/cache/bind/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
;$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key
; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
:
CentOS vi /var/named/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
;$INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+30623.key
; DNSSEC KSK KEY $INCLUDE /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key
ดาเนนการ sing ขอมล zone โดยการใช ZSK ใหม และ KSK เดม ผลการ sign จะมเฉพาะ ZSK ใหมเทานน
43/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+30623.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 0 standby, ...
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ A N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+30623.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 0 standby, ...
เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ
Debian & CentOS rndc reload
เมอทดสอบขอมลของ zone ในสวน DNSKEY จะไมพบวาม DNSKEY ของทง ZSK เดมอย คงเหลอแค DNSKEY
ของ ZSK ใหม และสวนของ RRSIG ถก sign ดวย ZSK ใหม
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutX.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAfuoZTTMyr3...nqx+qY/4CR3LvyGt7Qy+i+U= ) ; ZSK; alg = RSASHA512; key id = 30623
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136
rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20170230000000 20170... 30623 rmutX.ac.th.
44/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
cZnREXnaHmR3DRt...goib1eraLHN7f6oRDyfw== ) rmutX.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 (
20160426100323 20160... 50136 rmutX.ac.th. Nz0Sxyut+kjPMT6...c0UXfUm0PjGuM/LtqQkQ== )
25. การปรบเปลยน Key Signing Key (KSK)
ขนตอนการดาเนนการเปลยน KSK จะตองดาเนนการ 2 ขนตอน ตามภาพ โดยภาพรวมของการดาเนนการคอ ตอง
sign นาขอมล ดวย KSK เกาและใหมใหบรการพรอมกน แลวจงลบ KSK เกาทงในภายหลง
การเปลยน KSK ควรกระทาประมาณ ปละ 1 ครง อาจจะเปลยนในทกวนแรกของป เชน
ตวอยางตอไปนเปนการเปลยน KSK ในวนท 1 มกราคม 2017
กรณของ DNS server บน Microsoft Windows นน การปรบเปลน KSK จะไดรบการปรบเปลยนโดยอตโนมต
โดยระยะเวลาการดาเนนการนน เปนไปตามการตวเลอกทเลอกไวในขณะการสราง KSK ตามขนตอนท 11
โดยเมอเลอกตวเลอก [/] Enable automatic rollover ไว พรอมทงกาหนดรอบเวลาการดาเนนการทตองการ
รอบระยะเวลาทเปนคาตงตนคอ 755 วน หรอมการปรบเปลยน KSK ทกๆ 755 วน
แตหากตองการดาเนนการเปลยน KSK ดวยตนเอง กสามารถกระทาไดเชนกน
45/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
ลาดบทสนกวาการปรบเปลยน Zone Signing Key มลาดบขนของการดาเนนการดงน
วนท 1 มกราคม 2017 หรอ วนทมการแทนท KSK ดวย key ใหม
สราง KSK ใหม ดวยคาสง dnssec-keygen เชนเดยวกบขนตอนท 11 ผลลพธทได จะเกดเปนไฟล key
ชดใหมพรอมทงม key id ใหม
Debian cd /etc/bind/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+51419
CentOS cd /etc/named/keys/rmutX.ac.th dnsseckeygen r /dev/urandom f KSK a RSASHA512 b 2048 \ n ZONE rmutX.ac.th
KrmutX.ac.th.+010+51419
นาเขาไฟล KSK ใหมเพมเขาในไฟล zone อกหนงไฟล โดยยงคง KSK เดมไว เพอในไปใชในการ sign ขอมล zone
ควบคระหวาง KSK เดม กบ KSK ใหม
Debian vi /var/cache/bind/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
:
CentOS vi /var/named/rmutX.ac.th.zone
:
46/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
; DNSSEC ZSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key
; DNSSEC KSK KEY $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
:
ดาเนนการ sing ขอมล zone โดยยงคงใช KSK key เดม ควบคกบ KSK key ใหม และยงคงตองใช ZSK
ประกอบการ sign ดวย
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ k KrmutX.ac.th.+010+51419.key N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 2 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/cache/bind/rmutX.ac.th.zone.signed
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+50136.key \ k KrmutX.ac.th.+010+51419.key N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 2 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/named/rmutX.ac.th.zone.signed
เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ
Debian & CentOS rndc reload
Microsoft DNS Server
47/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การสราง KSK ใหมใน DNS server บน Microsoft Windows นน สามารถดาเนนการไดเชนกน
แตเปนการสราง KSK ขนเปนชดใหม ทดแทนชดเดมทงหมด เพอใหมคณสมบตแตกตางไปจาก KSK ชดเดมทงหมด
เชน อลกอรทม ขนาดคย และอนๆ มขนตอนคอ
- เปดโปรแกรมบรหารจดการ DNS
- ชเมาสไปยงชอ zone ระดบบนจากโครงสรางดานซาย แลวคลกปมดานขวาของเมาส
- เลอกคาสง DNSSEC >> Properties…
- คลกแทบ KSK
- คลกปม Add เพอเพม Key Signing Key
- กาหนดตวเลอกในการสราง key ประกอบดวย
- Key Properties: เลอกคณสมบตการเขารหสทเหมาะสม เชน RSA/SHA-512
เลอกความยาวของ key หรอใชคาตงตนเปน 2048 สวนตวเลอกอน ๆ ทเหลอ
ใหใชคาตงตนของโปรแกรม
- Key Rollover: เลอกใชจากคาตงตนของโปรแกรม
- เมอสนสดการสราง key จะพบวาม key ใหมอยในรายการ
48/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
การปรบเปลยน KSK ดวยตนเอง สามารถดาเนนได การจากความตองการ 2 แบบ จากหนาตางรายการ
KSK ดงน
- การปรบเปลยนดวย KSK ชดเดมทมอย โดยการเลอก KSk ทตองการจากรายการ และคลกปม
Rollover
- การปรบเปลยนดวย KSK ชดใหมทสรางขนจากขนตอนกอนหนาน โดยการเลอก KSK
ชดเดมจากรายการ แลวคลกปม Retire และตามดวยการคลกปม Rollover
49/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ KSK key เดม และ KSK ใหม
อกทงในสวนของ RRSIG แสดงใหเหนวา ขอมล zone ถก sign โดยทง KSK เดม และ KSK ใหม
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutx.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30= ) ; ZSK; alg = RSASHA512; key id = 29105
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbSAj/gsaC1...bSOozvqUnF2X5f1g16QW7QM= ) ; KSK; alg = RSASHA512; key id = 50136
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbuNlGzggkw...z3TehOUqoC/oVCvdkOFEEzM= ) ; KSK; alg = RSASHA512; key id = 51419
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 29105 rmutx.ac.th. vmxEf7A8i5yEl1w...0aQldN4/wnR5v7z53gJA== )
50/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 50136 rmutx.ac.th. bX/nM2fpSNbFqdA...dTWMfPAdsjSQ3swMylpg== )
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 51419 rmutx.ac.th. ZCTM2hmbpFNC7qX...CgFJlxpKLIwdYE+Vhc+g== )
อานคา Delegation Signer (DS) จากไฟล KSK ใหม จะไดคา DS
ใหมสาหรบนาไปเพมในฐานขอมลผใหบรการโดเมนระดบบน
Debian dnssecdsfromkey \ /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
rmutX.ac.th. IN DS 51419 10 1 2A9[...]C3AA210 rmutX.ac.th. IN DS 51419 10 2 A24[...]61BB32C 1678102D
CentOS dnssecdsfromkey \ /etc/named/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
rmutX.ac.th. IN DS 51419 10 1 2A9[...]C3AA210 rmutX.ac.th. IN DS 51419 10 2 A24[...]61BB32C 1678102D
นาคา Delegation Signer ไปเพมในฐานขอมลผใหบรการ ตามหวขอท 18 โดยยงคงคา Delegation Signer
เดมไวเชนเดม
เมอทดสอบขอมล Delegation Signer จากผใหบรการโดเมนภายนอก เชน จาก 8.8.8.8 จะพบวามขอมล DS
จานวน 2 รายการ มรายการ DS ใหมเพมขนจากเดม
dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 50136 10 1 3BF...5149622 rmutX.ac.th. 7199 IN DS 50136 10 2 C31...119735F 42092A9A rmutX.ac.th. 7199 IN DS 51419 10 1 2A9...C3AA210 rmutX.ac.th. 7199 IN DS 51419 10 2 A24...61BB32C 1678102D
วนท 1 กมภาพนธ 2017 หรอ 1 เดอนหลงจากการแทนท KSK ดวย key ใหม
นาไฟล KSK เดมออกจากไฟล zone โดยยงคง KSK ใหมไว เพอใหการ sign ขอมล zone เกดจาก KSK
ใหมเทานน
51/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Debian vi /var/cache/bind/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY
;$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
:
CentOS vi /var/named/rmutX.ac.th.zone
: ; DNSSEC ZSK KEY
$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+29105.key ; DNSSEC KSK KEY
;$INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+50136.key $INCLUDE /etc/bind/keys/rmutX.ac.th/KrmutX.ac.th.+010+51419.key
:
ดาเนนการ sing ขอมล zone โดยใชเพยง KSK ใหมเทานน และยงคงตองใช ZSK ประกอบการ sign ดวย
Debian cd /etc/bind/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+51419.key \ N INCREMENT t o rmutX.ac.th \ /var/cache/bind/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/cache/bind/rmutX.ac.th.zone.signed
CentOS cd /etc/named/keys/rmutX.ac.th dnssecsignzone r /dev/urandom k KrmutX.ac.th.+010+51419.key \ N INCREMENT t o rmutX.ac.th \ /var/named/rmutX.ac.th.zone KrmutX.ac.th.+010+29105.key
52/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
Verifying the zone using ... algorithms: RSASHA512. Zone fully signed: Algorithm: RSASHA512:KSKs: 1 active, 0 standby, ...
ZSKs: 1 active, 1 standby, ... /var/named/rmutX.ac.th.zone.signed
เรมตนทางานของโปรแกรมใหม เพอใหนาไฟล zone ทผานการ sign ไฟลใหมไปใหบรการ
Debian & CentOS rndc reload
เมอทดสอบขอมลของ zone ในสวน DNSKEY จะพบวาม DNSKEY ของ KSK ใหมเทานน อกทงในสวนของ
RRSIG แสดงใหเหนวา ขอมล zone ถก sign เฉพาะจาก KSK ใหมเทานน
dig @localhost rmutX.ac.th DNSKEY +dnssec +multiline ;; ANSWER SECTION: rmutx.ac.th. 1800 IN DNSKEY 256 3 10 (
AwEAAcByesHoxyI...gOoG3BriGoS6za1PktgpJ30= ) ; ZSK; alg = RSASHA512; key id = 29105
rmutx.ac.th. 1800 IN DNSKEY 257 3 10 ( AwEAAbuNlGzggkw...z3TehOUqoC/oVCvdkOFEEzM= ) ; KSK; alg = RSASHA512; key id = 51419
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 29105 rmutx.ac.th. vmxEf7A8i5yEl1w...0aQldN4/wnR5v7z53gJA== )
rmutx.ac.th. 1800 IN RRSIG DNSKEY 10 3 1800 ( 20160505153302 20160... 51419 rmutx.ac.th. ZCTM2hmbpFNC7qX...CgFJlxpKLIwdYE+Vhc+g== )
ลบนาคา Delegation Signer เกาออกจากฐานขอมลผใหบรการ ทเคยจดการตามหวขอท 18 โดยยงคงคา
Delegation Signer ใหมไวเชนเดม
เมอทดสอบขอมล Delegation Signer จากผใหบรการโดเมนภายนอก เชน จาก 8.8.8.8 จะพบวามขอมล DS
จานวน 1 รายการ ซงเปน DS ใหม
dig @8.8.8.8 rmutX.ac.th. DS +noadditional | grep DS rmutX.ac.th. 7199 IN DS 51419 10 1 2A9...C3AA210 rmutX.ac.th. 7199 IN DS 51419 10 2 A24...61BB32C 1678102D
53/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
ภาคผนวก
ตารางสรปเลขลาดบของ Algorithm และ Digest Type
Algorithm: 3 – DSA/SHA1 5 – RSA/SHA1 6 – DSANSEC3SHA1 7 – RSASHA1NSEC3SHA1 8 – RSA/SHA256 9 – RSA/SHA512
Digest Type: 1 – SHA1 2 – SHA256 3 SHA384
54/55
คมอการตดตง DNSSEC, ประกาย นาด, มทร.อสาน
เครองมอสาหรบทดสอบการทางานของ DNSSEC
ทดสอบดานแมขาย http://dnsviz.net/d/rmuti.ac.th/dnssec http://dnssecdebugger.verisignlabs.com
ทดสอบดานลกขาย http://dnssec.vs.unidue.de
แหลงขอมลอางอง http://users.isc.org/~jreed/dnssecguide/dnssecguide.html https://grepular.com/Understanding_DNSSEC https://www.enisa.europa.eu/activities/ResilienceandCIIP/netwo
rksandservicesresilience/dnssec/gpgdnssec/at_download/fullReport
http://www.thenoccave.com/2013/05/17/dnsseccompletehowtointroduction
http://www.nlnetlabs.nl/publications/dnssec_howto http://www.itnotes.eu/?p=2190 http://strotmann.de/roller/dnsworkshop/entry/dnssec_signing_a_zo
ne_with - http://backreference.org/2010/11/17/dnssecverificationwithdig http://www.dnsschool.org/Documentation/DNSSEC_Key_maintenance.p
df https://tools.ietf.org/html/rfc6781
55/55