Agenda: dns-acl-tsig-transfer-security-part2-vFR.txt

File dns-acl-tsig-transfer-security-part2-vFR.txt, 4.8 KB (added by admin, 6 years ago)
Line 
1BIND SÉCURISATION DU TRANSFERT
2------------------------------
3
4Sécurité à base de clé TSIG
5----------------------------
6
7Au lieu d'utiliser des adresses IP, nous allons maintenant utiliser des
8clés cryptographiques pour authentifier le transfert de zone - celui-ci
9utilise TSIG, un mécanisme par lequel la communication entre le maître
10et le serveur esclave sera authentifié en utilisant cette clé.
11
121. Éxécuter:
13
14    $ cd /tmp/
15    $ sudo dnssec-keygen -a HMAC-MD5 -b 128 -n HOST mydomain.key
16
17(Pensez bien sûr à remplacer 'mydomain' avec le nom de votre domaine!)
18
19Vous verrez quelque chose de similaire à ceci:
20
21Kmydomain.key.+157+32373   (le dernier nombre sera différent)
22
23    Deux fichiers auront été créés:
24
25    $ ls -l K*
26
27Kmydomain.key.+157+32373.key
28Kmydomain.key.+157+32373.private
29
302. Afficher le contenu de la clé privée
31
32    $ cat Kmydomain.key.+157+32373.private
33
34Vous verrez quelque chose de similaire à:
35
36Private-key-format: v1.2
37Algorithm: 157 (HMAC_MD5)
38Key: tHTRSKKrmyGmPnzNCf2IRA==
39Bits: AAA=
40
41... la "Key:" est la chose importante ici, donc copier
42"tHTRSKKrmyGmPnzNCf2IRA==" (mais bien sûr pas celui ci-dessus!
43celle dans VOTRE fichier!)
44
45Nous allons l'utiliser dans les étapes suivantes.
46
473. Modifiez votre named.conf
48
49$ cd /etc/namedb/
50
51Editez le fichier named.conf et modifier la déclaration allow-transfer,
52afin qu'elle ressemble à ceci:
53
54options {
55        ...
56        allow-transfer { 127.0.0.1; ::1; };  // myslaves est enlevé!
57        ...
58};
59
60
61Note: Nous avons supprimé "myslaves"
62
63Maintenant, aprÚs la fin de la section options (ou à la fin du fichier),
64ajouter une nouvelle déclaration pour la clé:
65
66key "mydomain-key" {
67        algorithm hmac-md5;
68        secret "tHTRSKKrmyGmPnzNCf2IRA=="; // Coller ici VOTRE clé!
69
70};
71
72N'oubliez pas de changer "mydomain" et remplacer avec le nom de
73votre domaine.
74
75Modifier la définition de votre zone:
76
77zone "MYTLD" {
78        type master;
79        file "/etc/namedb/master/mytld";
80
81        allow-transfer { key mydomain-key; };   // <-- Ajouter ceci!
82};
83
84Comme vous pouvez le voir ci-dessus, nous avons ajouté une déclaration
85"allow-transfer" permettant le transfert de la zone pour les détenteurs
86de la clé "mydomain-key".
87
88Note: allow-transfer est désormais placé à l'INTERIEUR de
89la définition d'une zone, et non pas globalement à l'intérieur de
90la section options - BIND permet de limiter le transfert de zone soit
91globalement, soit par zone. Nous aurions pu choisir de permettre
92les transferts globalement (pour toutes les zones), en laissant le
93la déclaration allow-transfer dans la section "options" principale.
94
954. Redémarrez named
96
97    $ sudo service named
98
995. Essayez de faire un transfert de zone à partir d'une AUTRE machine
100  - demandez à vos voisins de faire:
101
102    $ dig @10.10.XX.1 MYTLD axfr
103
104Regardez le fichier /etc/namedb/log/general et /etc/namedb/log/transfers
105
106    Q: Que remarquez-vous?
107
1086. Ensuite, demandez-leur d'essayer à nouveau avec la clé:
109
110    $ dig @10.10.XX.1 axfr mydomain -y mydomain-key:tHTRSKKrmyGmPnzNCf2IRA==
111
112Q: Qu'est-ce qui se passe maintenant?
113
114Vérifiez les journaux de nouveau, en particulier /etc/namedb/log/transfers
115
116
1177. Sur l'hÃŽte ESCLAVE de votre partenaire (votre secondaire - encore une
118   fois, cela peut être l'instructeur si ils offrent un service secondaire
119   pour votre domaine).
120
121  Commencez par demander à votre partenaire de supprimer leur copie de
122  votre zone:
123
124- Demandez-leur de supprimer la zone de /etc/namedb/slave/MYTLD -
125
126Rappelez-vous, c'est sur la machine de votre partenaire SLAVE:
127
128- Demandez-leur de redémarrer nommé
129
130   $ sudo rm /etc/namedb/slave/MYTLD
131
132Vérifiez avec eux que la zone a disparu et que leur serveur n'a pas pu
133la recharger.
134
135Q: Que voyez-vous dans les journaux MASTER (auth1) (transfers et general) ?
136
137Q: Qu'est-ce que vous voyez dans les journaux de l'ESCLAVE
138   (transfers et general) ?
139
1408. Toujours sur l'ESCLAVE (si l'instructeur fournit un service secondaire,
141   ce sera eux qui effectueront cette partie)
142
143Trouvez la déclaration de la zone:
144
145zone "MYTLD" {
146        type slave;
147        masters { 10.10.XX.1; };
148        file "slave/mydomain.dns";
149};
150
151... et ajouter la clé, et une déclaration pour dire quelle clé utiliser
152quand on parle a "10.10.XX.1." (le maître):
153
154key mydomain-key {
155        algorithm hmac-md5;
156        secret "tHTRSKKrmyGmPnzNCf2IRA==";
157};
158server 10.10.XX.1 {      // mettre ici l'IP du master de la zone
159        keys { mydomain-key; };
160};
161
1629. Redémarrez named
163
164    $ sudo service named restart
165
166Sur le serveur ESCLAVE:
167
168Q: Est ce que la zone "MYTLD" est réapparue dans le répertoire slave/ ?
169
170Q: Que voyez-vous dans les journaux de l'ESCLAVE (transfers et general)?
171
172Sur le serveur MAITRE:
173
174Q: Que voyez-vous dans les journaux MASTER (auth1) (transfers et general)?
175
176Pouvez-vous voir un avantage général à l'utilisation de clés au lieu
177d'ACL à base d'IP?
178