Agenda: opendnssec-lab1.txt

File opendnssec-lab1.txt, 6.6 KB (added by admin, 7 years ago)
Line 
1Firmado de zonas con OpenDNSSEC - part 1
2
31. Inicialice el "Hardware Security Module" basado en software (SoftHSM)
4
5    # mkdir /usr/local/var/softhsm
6
7    # softhsm --init-token --slot 0 --label OpenDNSSEC
8
9    (use '1234' en ambas preguntas):
10
11    The SO PIN must have a length between 4 and 255 characters.
12    Enter SO PIN: ****
13    The user PIN must have a length between 4 and 255 characters.
14    Enter user PIN: ****
15    The token has been initialized.
16
17        # softhsm --show-slots
18
19    Cree ficheros de configuraci—n para OpenDNSSEC haciendo una
20    copia de los ejemplos distribu’dos con el paquete:
21
22      # cd /usr/local/etc/opendnssec
23      # cp kasp.xml.sample kasp.xml
24      # cp conf.xml.sample conf.xml
25      # cp zonefetch.xml.sample zonefetch.xml
26      # cp zonelist.xml.sample zonelist.xml
27      # chmod 644 *xml
28
292. Cambie la pol’tica para usar NSEC en lugar de NSEC3:
30
31    Edite /usr/local/etc/opendnssec/kasp.xml
32
33    Busque esta secci—n, y elimine todas las l’neas desde <NSEC3> a </NSEC3>
34
35    <NSEC3>
36        <!-- <OptOut/> -->
37        <Resalt>P100D</Resalt>
38        <Hash>
39            <Algorithm>1</Algorithm>
40            <Iterations>5</Iterations>
41            <Salt length="8"/>
42        </Hash>
43    </NSEC3>
44
45    ... y sustitœyalas por la siguiente l’nea œnicamente:
46
47    <NSEC/>
48
49        Grabe y salga.
50
51        TambiŽn, configure la ubicaci—n correcta para el fichero libsofthsm.so en
52        conf.xml:
53
54        Cambie
55
56<Module>/usr/local/lib/libsofthsm.so</Module>
57
58        a
59
60<Module>/usr/local/lib/softhsm/libsofthsm.so</Module>
61
62
633. Inicialice el KSM
64
65    # ods-ksmutil setup
66
67    *WARNING* This will erase all data in the database; are you sure? [y/N] y
68    SQLite database set to: /usr/local/var/opendnssec/kasp.db
69    fixing permissions on file /usr/local/var/opendnssec/kasp.db
70    zonelist filename set to /usr/local/etc/opendnssec/zonelist.xml.
71    kasp filename set to /usr/local/etc/opendnssec/kasp.xml.
72    Repository SoftHSM found
73    No Maximum Capacity set.
74    RequireBackup NOT set; please make sure that you know the potential
75        problems of using keys which are not recoverable
76    /usr/local/etc/opendnssec/conf.xml validates
77    /usr/local/etc/opendnssec/kasp.xml validates
78    Policy default found
79    Info: converting P1Y to seconds; M interpreted as 31 days, Y interpreted as 365 days
80
814. Instale una copia de la zona sin firmar para que OpenDNSSEC la firme:
82
83    Anteriormente hicimos una copia de nuestra zona antes de firmarla
84    con BIND9. Vamos a usar esa copia de respaldo y ponerla a disposici—n de
85    OpenDNSSEC
86
87          # cd /etc/namedb/master
88          # cp MITLD.backup /usr/local/var/opendnssec/unsigned/MITLD
89
905. Agregue la zona a la base de datos de OpenDNSSEC:
91       
92        ojo: OpenDNSSEC es sensible a las mayœsuclas/minœsculas. El nombre
93        de zona abajo debe coincidir con el nombre del fichero de zona.
94
95    # ods-ksmutil zone add --zone MITLD
96
97    zonelist filename set to /usr/local/etc/opendnssec/zonelist.xml.
98    Imported zone: MITLD
99
1006. Arranque OpenDNSSEC!
101
102    # ods-control start
103
104    Starting enforcer...
105    OpenDNSSEC ods-enforcerd started (version 1.3.10), pid 63495
106    Starting signer engine...
107    Starting signer...
108    OpenDNSSEC signer engine version 1.3.10
109    Engine running.
110
111    # ps ax | grep ods
112
113    41588  ??  SsJ    0:00.11 /usr/local/sbin/ods-enforcerd
114    41593  ??  SsJ    0:00.07 /usr/local/sbin/ods-signerd
115
1167. Compruebe que se haya firmado la zona:
117
118    # ls -l /usr/local/var/opendnssec/signed
119
120    -rw-r--r--  1 root  wheel  2621 Feb 19 09:10 MITLD
121
122    Eche un vistazo al contenido - f’jese en los IDs de las claves ZSK y KSK.
123
124    Si por alguna raz—n no ve un fichero en este directorio
125        (/usr/local/var/opendnssec/signed/), force al "signer" a firmar:
126
127    # ods-signer sign MITLD
128
129
1308. Momento para reflexionar
131
132        Entonces, la zona ya est‡ firmada con OpenDNSSEC - f’jese que no hemos
133        generado ninguna clave
134
135        Liste las claves gestionadas actualmente por OpenDNSSEC:
136
137        # ods-ksmutil key list
138Keys:
139Zone:                       Keytype:      State:    Date of next transition:
140MITLD                       KSK           publish   2012-09-14 09:15:09       
141MITLD                       ZSK           active    2012-10-13 19:15:09     
142
143        F’jese que ambas claves han sido generadas por OpenDNSSEC, autom‡ticamente.
144
145        Pero BIND todav’a est‡ cargando la zona que fue firmada antes (ya fuera
146        manualmente o usando el firmado en l’nea) - podemos simplemente cambiar
147        el fichero named.conf y apuntar a la zona firmada?
148
149        Cu‡l KSK se est‡ usando actualmente? Y cu‡l rŽcord DS se public— en la
150        zona superior (la ra’z)?
151
152        Podr’an los resolvers validar la zona firmada por DNSSEC? Por quŽ?
153        QuŽ habr’a que hacer para que funcione (hay varias posibles respuestas).
154
155        Si no le importa el problema de la validaci—n, proceda con el resto del
156        ejercicio.
157
1589. Indique a BIND que cargue la zona firmada
159
160    Modifique /etc/namedb/named.conf, y cambie la definici—n de zona para "MITLD"
161    de manera que se vea as’ (QUITE auto-dnssec, etc...)
162
163zone "MITLD" {
164        file "/usr/local/var/opendnssec/signed/MITLD";  // <--- Cambiar ubicaci—n
165        type master;
166        key-directory "/etc/namedb/keys";   // <--- Quite, si est‡
167        auto-dnssec maintain;               // <--- Quite, si est‡
168        inline-signing yes;                 // <--- Quite, si est‡
169};
170
171        Ahora, BIND vuelve a ser un servidor "pasivo" que no firma la zona -
172        simplemente la sirve a los clientes tal y como fue firmada por OpenDNSSEC.     
173
174    Reinicie named:
175
176    # service named restart
177
178        Revise los lgos en /etc/named/log/general para asegurarse de que la zona
179        estŽ siendo cargada correctamente
180       
181        Ahora, la validaci—n probablemente fallar‡ para aquŽllos que estŽn tratando
182        de resolver nombres en su zona. Espere unos minutos e intente buscar un
183        record en su zona.
184
185        # dig www.MITLD +dnssec
186
187        QuŽ pudo observar ?
188
189
19010. Recargar BIND con OpenDNSSEC
191
192        Aœn mejor, puede hacer que OpenDNSSEC le indique a BIND que debe recargar
193        la zona cuando Žsta ha sido firmada - de esta manera, no es necesario
194        reiniciar:
195
196        Para lograr esto, modifique /usr/local/etc/opendnssec/conf.xml
197
198        Busque las l’neas:
199
200<!--
201                <NotifyCommand>/usr/sbin/rndc reload %zone</NotifyCommand>
202-->
203
204    ... elimine los comentarios (las l’neas '<!--' y '-->') antes y despuŽs.
205
206    Grabe el fichero y reinicie OpenDNSSEC:
207
208        # ods-control stop
209        ...
210        # ods-control start
211
212
21311. Exporte el DS, listo para subir:
214
215    # ods-ksmutil key export --zone MITLD --ds --keystate publish >/tmp/dsset-MITLD.
216
21712. Suba el DS al servidor ra’z
218
219    # scp /tmp/dsset-MITLD. adm@a.root-servers.net:
220
22113. Notifique al administrador!
222
223        Pida al administrador que a–ada su DS a la zona ra’z, y compruebe cu‡nto
224        tiempo toma para que la validaci—n funcione de nuevo en su zona.