DNSSEC Archive - Volkers Blog

Jahresrückblick 2014

25.05.201831.12.2014 von voja

In diesem Jahr haben mich privat und beruflich viele Themen beschäftigt, aber im Blog sind leider nur sehr wenige Artikel gelandet. Ich habe mich in die Virtualisierung mit OpenVZ eingearbeitet und benutze es nun neben Xen für einige virtuelle Maschinen. OpenVZ macht einen guten Eindruck auf mich und das Projekt soll 2015 durch eine engere Zusammenarbeit mit Parallels profitieren.

Für die Migration von Xen DomUs habe ich mehrere LVM-Volumes umgezogen. Ich habe mich etwas in Bootstrap für die Website Erstellung eingearbeitet. Ebenso in Jekyll für die Generierung von statischen Webseiten. Das Thema IPv6-Tunnel und dynamisches DNS hat mich am Jahresanfang beschäftigt. Ich habe mich auch mit der Ghost Blog-Software beschäftigt, habe aber nichts produktives damit gemacht. Es wird interessant das Projekt weiter zu verfolgen.

Für DNSSEC war es ein gutes Jahr. Ich konnte bei meinen verschiedenen Setups mit Bind und PowerDNS keine Probleme mehr feststellen. Im Zusammenspiel mit OpenDNSSEC wurden sogar einige Key-Rollover beim Registrar vollautomatisch und ohne Probleme durchgeführt.

Zum Schluss noch ein Thema, dass mich beruflich sehr beschäftigt hat: die neuen TLDs. Ich bin gespannt wie es 2015 auf dem Gebiet weiter geht. Es wird interessant sein die Renew-Zahlen zu sehen, wenn die TLDs jeweils ein Jahr frei registrierbar waren.

Bind 9.8.1-P1: DNSSEC signierte Zone einrichten wird ganz einfach

25.05.201811.03.2012 von voja

Ich muss sagen ich bin beeindruckt: mit Bind 9.8.1-P1 ist es jetzt noch einfacher geworden eine mit DNSSEC signierte Zone einzurichten.

Schlüssel erzeugen

Hierzu befinde ich mich für das Beispiel in /etc/bind/master/keys.

dnssec-keygen -f KSK example.com
dnssec-keygen example.com

Falls dieser Vorgang sehr lange dauert, weil man auf einer virtuellen Maschine unterwegs ist, kann man das ganze unter Ausnutzung von /dev/urandom (unter den üblichen kryptographischen Vorbehalten) beschleunigen:

dnssec-keygen -r /dev/urandom -f KSK example.com
dnssec-keygen -r /dev/urandom example.com

Die Zone in Bind für DNSSEC konfigurieren

Jetzt fehlt nur noch die Konfiguration für die Zone:

zone "example.com" {
  auto-dnssec maintain;
  type master;
  update-policy local;
  file "/etc/bind/master/example.com";
  key-directory "/etc/bind/master/keys";
};

Bind reload und fertig. 🙂

Mit den Zonen-Updates bin ich hier aber noch nicht ganz warm geworden. Dazu und hoffentlich auch zu den Key-Rollovern bald mehr. Bin dahin empfehle ich zur weiteren Lektüre: ISC: DNSSEC and Bind.

Artikel Updates

In der ersten Version den Artikels habe ich die KSK-Generierung nicht mit hin geschrieben.
Das ganze kann man auch nochmal hier nachlesen: Tony Finch – DNSSEC with BIND 9.8.0

Nagios: DNSSEC-Signaturen überwachen

25.05.201802.08.2011 von voja

Wer seine DNSSEC-Signaturen mit Nagios überwachen will, findet auf den folgenden Seiten Hilfe:

IPv6 ready überarbeitet

25.05.201811.06.2011 von voja

Meine Seite IPv6 ready? hat heute ein Update verpasst bekommen. Das Layout habe ich auf YAML umgestellt. Desweiteren wurden einige Informationen aktualisiert. Die Webseite selbst sollte demnächst auch aus IPv6-only Umgebungen erreichbar sein und mit DNSSEC signiert sein.

.de Zone ab heute signiert

25.05.201831.05.2011 von voja

Heute wird die .de Zone mit einer validierbaren Signatur versehen. DNSSEC kann damit produktiv auch für .de eingesetzt werden. Mehr Informationen: Internet – aber sicher! DNSSEC kommt für .de

DNSSEC für die root

25.05.201816.07.2010 von voja

Seit gestern liefern die DNS root Nameserver nicht mehr den DURZ aus, sondern sind mit einer echten Signatur versehen. Der Übergang verlief in meinen Augen weitgehend unbemerkt. Probleme sind mir keine bekannt. Damit ist ein wichtiger Schritt getan um DNSSEC weiter zu etablieren. Jetzt heißt es auch erstmal die DNS Resolver neu zu konfigurieren, damit die Validierung von der root aus korrekt klappt. Hier noch ein paar interessante Seiten zu diesem Thema:

heise online – DNSSEC in der DNS-Rootzone gestartet
DNSSEC visualisiert (am Beispiel der Domain nic.cz) bei DNSViz oder bei den VeriSign Labs.

Bind9 Views

25.05.201826.06.2010 von voja

Eine Sache, die ich beim DNS-Server Bind9 bisher nicht kannte sind Views. Damit kann man abhängig von der anfragenden IP-Adresse bestimmte Einstellungen aktiv setzen und so z.B. Rekursion erlauben oder verbieten, oder abhängig von der IP andere Zonefiles ausliefern. Ein Anwendungsbeispiel wäre z.B. an die IP 127.0.0.1 (localhost) eine unsignierte Zone auszuliefern, die von einem signierenden Proxy wie OpenDNSSEC per AXFR abgeholt und signiert wird. Die signierte Version der Zone wird dann an alle öffentlichen IP-Adressen ausgeliefert.
Ein sehr guter Artikel mit Praxisbeispielen ist Views in BIND 9 – O’Reilly Media.