| 1 | BIND SÃCURISATION DU TRANSFERT |
|---|
| 2 | ------------------------------ |
|---|
| 3 | |
|---|
| 4 | Sécurité à base de clé TSIG |
|---|
| 5 | ---------------------------- |
|---|
| 6 | |
|---|
| 7 | Au lieu d'utiliser des adresses IP, nous allons maintenant utiliser des |
|---|
| 8 | clés cryptographiques pour authentifier le transfert de zone - celui-ci |
|---|
| 9 | utilise TSIG, un mécanisme par lequel la communication entre le maître |
|---|
| 10 | et le serveur esclave sera authentifié en utilisant cette clé. |
|---|
| 11 | |
|---|
| 12 | 1. Ãxécuter: |
|---|
| 13 | |
|---|
| 14 | $ cd /tmp/ |
|---|
| 15 | $ sudo dnssec-keygen -a HMAC-MD5 -b 128 -n HOST mydomain.key |
|---|
| 16 | |
|---|
| 17 | (Pensez bien sûr à remplacer 'mydomain' avec le nom de votre domaine!) |
|---|
| 18 | |
|---|
| 19 | Vous verrez quelque chose de similaire à ceci: |
|---|
| 20 | |
|---|
| 21 | Kmydomain.key.+157+32373 (le dernier nombre sera différent) |
|---|
| 22 | |
|---|
| 23 | Deux fichiers auront été créés: |
|---|
| 24 | |
|---|
| 25 | $ ls -l K* |
|---|
| 26 | |
|---|
| 27 | Kmydomain.key.+157+32373.key |
|---|
| 28 | Kmydomain.key.+157+32373.private |
|---|
| 29 | |
|---|
| 30 | 2. Afficher le contenu de la clé privée |
|---|
| 31 | |
|---|
| 32 | $ cat Kmydomain.key.+157+32373.private |
|---|
| 33 | |
|---|
| 34 | Vous verrez quelque chose de similaire à : |
|---|
| 35 | |
|---|
| 36 | Private-key-format: v1.2 |
|---|
| 37 | Algorithm: 157 (HMAC_MD5) |
|---|
| 38 | Key: tHTRSKKrmyGmPnzNCf2IRA== |
|---|
| 39 | Bits: AAA= |
|---|
| 40 | |
|---|
| 41 | ... la "Key:" est la chose importante ici, donc copier |
|---|
| 42 | "tHTRSKKrmyGmPnzNCf2IRA==" (mais bien sûr pas celui ci-dessus! |
|---|
| 43 | celle dans VOTRE fichier!) |
|---|
| 44 | |
|---|
| 45 | Nous allons l'utiliser dans les étapes suivantes. |
|---|
| 46 | |
|---|
| 47 | 3. Modifiez votre named.conf |
|---|
| 48 | |
|---|
| 49 | $ cd /etc/namedb/ |
|---|
| 50 | |
|---|
| 51 | Editez le fichier named.conf et modifier la déclaration allow-transfer, |
|---|
| 52 | afin qu'elle ressemble à ceci: |
|---|
| 53 | |
|---|
| 54 | options { |
|---|
| 55 | ... |
|---|
| 56 | allow-transfer { 127.0.0.1; ::1; }; // myslaves est enlevé! |
|---|
| 57 | ... |
|---|
| 58 | }; |
|---|
| 59 | |
|---|
| 60 | |
|---|
| 61 | Note: Nous avons supprimé "myslaves" |
|---|
| 62 | |
|---|
| 63 | Maintenant, aprÚs la fin de la section options (ou à la fin du fichier), |
|---|
| 64 | ajouter une nouvelle déclaration pour la clé: |
|---|
| 65 | |
|---|
| 66 | key "mydomain-key" { |
|---|
| 67 | algorithm hmac-md5; |
|---|
| 68 | secret "tHTRSKKrmyGmPnzNCf2IRA=="; // Coller ici VOTRE clé! |
|---|
| 69 | |
|---|
| 70 | }; |
|---|
| 71 | |
|---|
| 72 | N'oubliez pas de changer "mydomain" et remplacer avec le nom de |
|---|
| 73 | votre domaine. |
|---|
| 74 | |
|---|
| 75 | Modifier la définition de votre zone: |
|---|
| 76 | |
|---|
| 77 | zone "MYTLD" { |
|---|
| 78 | type master; |
|---|
| 79 | file "/etc/namedb/master/mytld"; |
|---|
| 80 | |
|---|
| 81 | allow-transfer { key mydomain-key; }; // <-- Ajouter ceci! |
|---|
| 82 | }; |
|---|
| 83 | |
|---|
| 84 | Comme vous pouvez le voir ci-dessus, nous avons ajouté une déclaration |
|---|
| 85 | "allow-transfer" permettant le transfert de la zone pour les détenteurs |
|---|
| 86 | de la clé "mydomain-key". |
|---|
| 87 | |
|---|
| 88 | Note: allow-transfer est désormais placé à l'INTERIEUR de |
|---|
| 89 | la définition d'une zone, et non pas globalement à l'intérieur de |
|---|
| 90 | la section options - BIND permet de limiter le transfert de zone soit |
|---|
| 91 | globalement, soit par zone. Nous aurions pu choisir de permettre |
|---|
| 92 | les transferts globalement (pour toutes les zones), en laissant le |
|---|
| 93 | la déclaration allow-transfer dans la section "options" principale. |
|---|
| 94 | |
|---|
| 95 | 4. Redémarrez named |
|---|
| 96 | |
|---|
| 97 | $ sudo service named |
|---|
| 98 | |
|---|
| 99 | 5. Essayez de faire un transfert de zone à partir d'une AUTRE machine |
|---|
| 100 | - demandez à vos voisins de faire: |
|---|
| 101 | |
|---|
| 102 | $ dig @10.10.XX.1 MYTLD axfr |
|---|
| 103 | |
|---|
| 104 | Regardez le fichier /etc/namedb/log/general et /etc/namedb/log/transfers |
|---|
| 105 | |
|---|
| 106 | Q: Que remarquez-vous? |
|---|
| 107 | |
|---|
| 108 | 6. Ensuite, demandez-leur d'essayer à nouveau avec la clé: |
|---|
| 109 | |
|---|
| 110 | $ dig @10.10.XX.1 axfr mydomain -y mydomain-key:tHTRSKKrmyGmPnzNCf2IRA== |
|---|
| 111 | |
|---|
| 112 | Q: Qu'est-ce qui se passe maintenant? |
|---|
| 113 | |
|---|
| 114 | Vérifiez les journaux de nouveau, en particulier /etc/namedb/log/transfers |
|---|
| 115 | |
|---|
| 116 | |
|---|
| 117 | 7. Sur l'hÃŽte ESCLAVE de votre partenaire (votre secondaire - encore une |
|---|
| 118 | fois, cela peut être l'instructeur si ils offrent un service secondaire |
|---|
| 119 | pour votre domaine). |
|---|
| 120 | |
|---|
| 121 | Commencez par demander à votre partenaire de supprimer leur copie de |
|---|
| 122 | votre zone: |
|---|
| 123 | |
|---|
| 124 | - Demandez-leur de supprimer la zone de /etc/namedb/slave/MYTLD - |
|---|
| 125 | |
|---|
| 126 | Rappelez-vous, c'est sur la machine de votre partenaire SLAVE: |
|---|
| 127 | |
|---|
| 128 | - Demandez-leur de redémarrer nommé |
|---|
| 129 | |
|---|
| 130 | $ sudo rm /etc/namedb/slave/MYTLD |
|---|
| 131 | |
|---|
| 132 | Vérifiez avec eux que la zone a disparu et que leur serveur n'a pas pu |
|---|
| 133 | la recharger. |
|---|
| 134 | |
|---|
| 135 | Q: Que voyez-vous dans les journaux MASTER (auth1) (transfers et general) ? |
|---|
| 136 | |
|---|
| 137 | Q: Qu'est-ce que vous voyez dans les journaux de l'ESCLAVE |
|---|
| 138 | (transfers et general) ? |
|---|
| 139 | |
|---|
| 140 | 8. Toujours sur l'ESCLAVE (si l'instructeur fournit un service secondaire, |
|---|
| 141 | ce sera eux qui effectueront cette partie) |
|---|
| 142 | |
|---|
| 143 | Trouvez la déclaration de la zone: |
|---|
| 144 | |
|---|
| 145 | zone "MYTLD" { |
|---|
| 146 | type slave; |
|---|
| 147 | masters { 10.10.XX.1; }; |
|---|
| 148 | file "slave/mydomain.dns"; |
|---|
| 149 | }; |
|---|
| 150 | |
|---|
| 151 | ... et ajouter la clé, et une déclaration pour dire quelle clé utiliser |
|---|
| 152 | quand on parle a "10.10.XX.1." (le maître): |
|---|
| 153 | |
|---|
| 154 | key mydomain-key { |
|---|
| 155 | algorithm hmac-md5; |
|---|
| 156 | secret "tHTRSKKrmyGmPnzNCf2IRA=="; |
|---|
| 157 | }; |
|---|
| 158 | server 10.10.XX.1 { // mettre ici l'IP du master de la zone |
|---|
| 159 | keys { mydomain-key; }; |
|---|
| 160 | }; |
|---|
| 161 | |
|---|
| 162 | 9. Redémarrez named |
|---|
| 163 | |
|---|
| 164 | $ sudo service named restart |
|---|
| 165 | |
|---|
| 166 | Sur le serveur ESCLAVE: |
|---|
| 167 | |
|---|
| 168 | Q: Est ce que la zone "MYTLD" est réapparue dans le répertoire slave/ ? |
|---|
| 169 | |
|---|
| 170 | Q: Que voyez-vous dans les journaux de l'ESCLAVE (transfers et general)? |
|---|
| 171 | |
|---|
| 172 | Sur le serveur MAITRE: |
|---|
| 173 | |
|---|
| 174 | Q: Que voyez-vous dans les journaux MASTER (auth1) (transfers et general)? |
|---|
| 175 | |
|---|
| 176 | Pouvez-vous voir un avantage général à l'utilisation de clés au lieu |
|---|
| 177 | d'ACL Ã base d'IP? |
|---|
| 178 | |
|---|