Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

DNSSEC Lookaside Validation

Bevor die Root-Zone signiert wurde, mussten andere Wege gefunden werden, um SEPs zu schaffen. Hierzu wurde das Prinzp der DNSSEC Lookaside Validation (DLV) entwickelt [4] . Danach können DLV-Provider, allen voran »dlv.isc.org« [5] , KSKs beliebiger Domains signieren, sodass die DLV-Provider einen SEP anbieten. Importiert der Resolver den KSK eines DLV-Providers, werden alle dort signierten Zonen als vertrauenswürdig erachtet. Dabei stellt der FQDN des DLV-Providers eine beliebige Toplevel-Domain dar. Somit kann ISC zum Beispiel die Zone »example.org« signieren.

Die Antwort kann mit einer Anfrage an »example.dlv.isc.org« validiert werden. Dies ist in BIND9-Servern seit der Version 9.4.3-P2 fest implementiert, der KSK für »dlv.isc.org« ist bereits vorhanden und als Managed Key eingebunden. Die entsprechend Option kann durch »dnssec-lookaside . trust-anchor dlv.isc.org.;« in der Options-Sektion von »named.conf« aktiviert werden. Aber um es noch einmal klar zu sagen: Seit die Root-Zone signiert wurde, sind DLV-Provider obsolet, die auch nie für den Dauerbetrieb vorgesehen waren.

DNSSEC for Humans

Die Administration von DNSEC-gesicherten Strukturen bringt einige Herausforderungen mit sich. Neben dem notwendigen Verständnis der Zusammenhänge benötigt der Admin vor allem einen Überblick über die verwendeten Schlüssel. Gerade der ZSK sollte sich aus Sicherheitsgründen regelmäßig ändern. Die Schlüsselverwaltung ist somit eine wichtige Aufgabe. Mit BIND 9.7 führt das ISC bestimmte DNSSEC-Erweiterungen ein, die als DNSSEC for Humans bezeichnet werden. Hierzu gehört unter anderem:

  • die Unterstützung von Hardware Security Modulen (HSMs, PKCS#11),
  • einfacheres dynamisches DNS,
  • die automatische Signatur von Zonen mit entsprechenden Schlüsseln,
  • für rekursive Resolver die automatische Verwaltung der Trust Anchors nach RFC 5011 und
  • Unterstützung von SHA2.

Bezüglich der Schlüsselverwaltung ist insbesondere die Umsetzung der Spezifikation nach RFC 5011 interessant. Es wurde eine neue Direktive namens »managed-keys« eingeführt, die man alternativ zu »trusted-keys« verwenden kann. Dabei fügt der DNS-Administrator nur noch einen Initial Key ein. Der Resolver fragt spätestens vor dem Ablauf von 15 Tagen beim autoritativen Server nach einem neuen Public Key und importiert gegebenenfalls automatisch den neuen Schlüssel. Möglich wird dies durch Metadaten in den Schlüsseldateien. Diese können über das Kommando »dnssec-settime« festgelegt werden. Hier können die folgenden Parameter gesetzt werden:

  • »-P Datum « : ab wann wird der Schlüssel in der Zone veröffentlicht?
  • »-A Datum « : Zeitpunkt der Aktivierung des Schlüssels
  • »-R Datum « : Zeitpunkt, zu dem der Schlüssel zurückgezogen wird
  • »-I Datum « : Zeitpunkt, zu dem der Schlüssel nicht mehr aktiv ist
  • »-D Datum « : Zeitpunkt der Löschung des Schlüssels

Dieser Mechanismus ermöglicht ein automatisches Key-Rollover. Zunächst erzeugt der Admin ein Verzeichnis für die Schlüssel einer Zone, wo er alle Schlüssel der Zone ablegt. Diese können nun automatisch, entsprechend ihrer Metadaten, verwendet werden. Dazu müssen in der Definition der Zone entsprechende Direktiven gesetzt werden, wie Listing 2 am Beispiel der Zone »avc.local« zeigt.

Listing 2

avc.local

 

Damit können zum Beispiel ZSKs, aber auch KSKs automatisch ausgetauscht werden. Die Listings 3 und 4 zeigen noch einmal die gewöhnliche und die per DNSSEC abgesicherte Zone im Vergleich.

Listing 3

Originale Zonendatei db.avc.local

 

Listing 4

Signierte Zonendatei db.avc.local.signed

 

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023