DNSSEC během 6 minut

Podobné dokumenty
Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Automatická správa keysetu. Jaromír Talíř

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC: implementace a přechod na algoritmus ECDSA

Principy a správa DNS - cvičení

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC Pavel Tuček

Principy a správa DNS - cvičení

Správa linuxového serveru: DNS a DHCP server dnsmasq

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

DNS. Počítačové sítě. 11. cvičení

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Popis nastavení DNS serveru Subjektu

DNSSEC na vlastní doméně snadno a rychle

Implementace DNSSEC v CZ.NIC, z.s.p.o.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Výpis z registru doménových jmen.cz

Provozní manuál DNSSec pro registr.cz a e164.arpa

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Ondřej Caletka. 23. května 2014

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Výpis z registru doménových jmen.cz

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Novinky v.cz registru a mojeid. Zdeněk Brůna

Automatická správa KeySetu

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Falšování DNS s RPZ i bez

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Domain Name System (DNS)

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Útok na DNS pomocí IP fragmentů

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Principy a správa DNS - cvičení

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Principy a správa DNS

Stručné shrnutí v bodech

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

1 Tabulky Příklad 3 Access 2010

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro přístup k Základním registrům

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Principy a správa DNS

Obsah. Nastavení elektronické komunikace v IS PREMIER

DNS Domain Name System

Získání certifikátu pro přístup do informačního systému základních registrů

DNSSEC na vlastní doméně snadno a rychle

Poslední aktualizace: 1. srpna 2011

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

1.1. Tyto Obchodní podmínky upravují registrace, přeregistrace, prodlužování a změny u doménových jmen, která jsou vedena u Dodavatele.

ON-LINE MONITOROVÁNÍ EXPIRACE PODPISU DNSSEC

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

INSTALACE SOFTWARE A AKTIVACE PRODUKTU NÁVOD

DNS, DHCP DNS, Richard Biječek

Athena Uživatelská dokumentace v

Správa a zabezpečení DNS

Ondřej Caletka. 2. března 2014

Domain Name System (DNS)

Certifikáty a jejich použití

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna Modul ekomunikace strana 1/5

Patrol Management System 2.0

Principy a správa DNS

WrapSix aneb nebojme se NAT64. Michal Zima.

StartSSL: certifikáty zdarma

Nastavení CADprofi pro CAD, aktivace a registrace CADprofi

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Monday, June 13, Garantovaná a bezpečná archivace dokumentů

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

Certifikáty a jejich použití

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Přechod na SHA-2. informace pro uživatele. Ministerstvo vnitra ČR Odbor rozvoje projektů a služeb služeb egovernment

Příručka nastavení funkcí snímání

JRV.CZ s.r.o. Bulharská Brno RosaData. Pohledávky

Principy a správa DNS

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Instalace Active Directory

Testovací protokol čipová karta ACOS5

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Sí DNS (Domain Name System)

Informační systém pro e-learning manuál

Testovací protokol USB Token Cryptomate

Národní elektronický nástroj. Import profilu zadavatele do NEN

Biometrický podpis. Obsah. Biometrický podpis stručný průvodce

Možnosti nastavení zobrazíte volbou Konfigurace > Nastavení elektronické komunikace.

Principy a správa DNS

UŽIVATELSKÁ PŘÍRUČKA PRO HOMEBANKING PPF banky a.s.

OpenSSL a certifikáty

Transkript:

DNSSEC během 6 minut Historie aktualizací Nečíslováno Původní vydání 1.1 Úpravy gramatiky, přidáno číslo verze 1.2 Rozdělení na 2 části 1.3 Oprava v dnssec keygen, přidána historie aktualizací 1.4 Oprava DLV 1.5 Vyčištění rozdělení a aktualizace udp53.org základní linie verze pro čínský překlad

Díky... Francis DuPont Mark Andrews Tim Brown Håvard Eidnes Bruce Esquibel Carl Byington 孙 国 念 (SUN Guonian) 2

DNSSEC během 6 minut Alan Clegg Programátor oddělení podpory Internet Systems Consortium alan_clegg@isc.org Verze 1.5

Objasnění DNSSEC 4

Objasnění DNSSEC 5 DNSSEC umožňuje autoritativním serverům poskytovat k standardním DNS datům navíc digitální podpisy RRsetů Resolvery ověřující DNSSEC podpisy (dále validující resolvery ) poskytují potvrzené odpovědi s prokázanou integritou

Objasnění DNSSEC Klienti, kteří používají validující resolvery, získávají garantovaná správná data s určitou úrovní garance Odpovědi, které nejsou validní, jsou klientovi vráceny z nadřazeného resolveru s chybou SERVFAIL 6

Nasazení DNSSECu 7

Nasazení DNSSECu Jednorázové aktivity: 8 Ujasněte si adresářovou strukturu na autoritativním serveru a pojmenování zónového souboru Povolte DNSSEC na autoritativních serverech Povolte DNSSEC na rekurzivních serverech

Nasazení DNSSECu Povolte DNSSEC pro každou zónu Vygenerujte ZSK a KSK Připojte klíče do zónového souboru Podepište zónu Změnte odkaz na zónový soubor v named.conf na podepsaný zónový soubor Znovu načtěte zónu 9

Nasazení DNSSECu Umístěte DS záznamy do nadřazené zóny V případě, že nadřazená zóna nepoužívá DNSSEC, umístěte DLV záznamy do DLV registru 10

Všechny tyto kroky... podrobně! 11

Připravte adresářovou strukturu K dispozici jsou nástroje, jež usnadňují údržbu zóny, ale nejlépe pracují se standardizovanou adresářovou strukturou Umístěte všechny soubory zóny do jediného adresáře 12

Povolte DNSSEC na autoritativních serverech options { }; dnssec enable yes; Vyžaduje BIND s podporou SSL a nainstalované OpenSSL knihovny 13

Povolte DNSSEC na rekurzivních serverech options { }; dnssec enable yes; dnssec validation yes; Validace se provádí na rekurzivních, nikoli na autoritativních serverech. 14

Zabezpečení zóny Pro každou zónu jsou vytvořeny dva klíče 1 ) Klíč podepisující zóny (ZSK) používá se k podpisu dat v zóně 15 ) 2 Klíč podepisující klíče (KSK) používá se k podpisu klíče podepisujícího zóny a k vytvoření důvěryhodného vstupního bodu (SEP) pro zónu

Vytvořte klíče Vytvoření ZSK dnssec keygen a RSASHA1 b 1024 n ZONE zonename Využívá algoritmus RSA SHA1 o délce 1024 bitů Toto je DNSSEC klíč pro zónu (-n ZONE) 16

Vytvořte klíče Vytvoření ZSK dnssec keygen a RSASHA1 b 1024 n ZONE zonename Vytvoří 2 soubory Kzonename+<alg>+<fing>.key Kzonename+<alg>+<fing>.private 17.key je veřejnou částí klíče,.private je soukromou částí klíče

Vytvořte klíče Vytvoření KSK dnssec keygen a RSASHA1 b 4096 n ZONE f KSK zonename Využívá algoritmus RSA SHA1 o délce 4096 bitů Takto velký klíč potřebuje velkou entropii! Toto je DNSSEC klíč pro zónu (-n ZONE) 18 Má nastavení bitu (KSK) důvěryhodného vstupního bodu

Připravte zónu Přidejte veřejné části obou KSK a ZSK k zóně, která má být podepsána Direktiva $INCLUDE v zonefile nebo cat Kzonename+*.key >> zonefile 19 Dejte si pozor, abyste nepoužili pouze jednu >! (přepíše soubor)

Podepište zónu 20 Přidejte RRSIG, NSEC a přiřazené záznamy k zóně dnssec signzone [ o zonename] [ N INCREMENT] [ k KSKfile] zonefile [ZSKfile] Název zóny (zonename) je implicitně název souboru (zonefile) Pojmenujte soubor podle zóny!

Podepište zónu dnssec signzone [ o zonename] [ N INCREMENT] [ k KSKfile] zonefile [ZSKfile] N INCREMENT automaticky inkrementuje sériové číslo během podepisování Odstraňuje chybu způsobenou lidským faktorem 21

Podepište zónu dnssec signzone [ o zonename] [ N INCREMENT] [ k KSKfile] zonefile [ZSKfile] KSKfile je implicitně Kzonefile* s nastavením bitu SEP ZSKfile je implicitně Kzonefile* bez nastavení bitu SEP 22

Podepište zónu dnssec signzone [ o zonename] [ N INCREMENT] [ k KSKfile] zonefile [ZSKfile] Výstupní soubor je zonefile.signed Seřazený podle abecedy Včetn ě RRSIG, NSEC & DNSKEY RRs Mnohem větší než předtím! 23

Aktualizujte named.conf Nahraďte zone zonename { file dir/zonefile ; }; 24 Za zone zonename { file dir/zonefile.signed ; };

Začněte poskytovat podepsanou zónu Načtěte znovu konfiguraci named rndc reconfig rndc flush Nyní poskytujete DNSSEC podepsané zóny 25

Problematika pravidelné údržby 26

Pravidelná údržba zóny Podpisy mají životnost Datum vzniku 1 hodina před spuštěním dnssec signzone Datum expirace 30 dní po spuštění dnssec signzone Expirované podpisy způsobí, že zóna nepůjde ověřit! 27

Pravidelná údržba zóny Pokaždé, když upravíte zónu nebo minimálně každých 30 dnů (mínus TTL) musíte znovu spustit dnssecsignzone 28 Pokud to neuděláte 1 ) Data zóny budou zastaralá 2 ) Data zóny budou ZTRACENA

Pravidelná údržba klíče Klíče je zapotřebí střídat Nemají datum expirace Čím déle je klíč veřejně viditelný, tím větší je pravděpodobnost, že bude prolomen Prolomení (zcizení) klíče může vést k potřebě výměny klíče 29

Pravidelná údržba klíčů KSK by měl být vyměněn jednou ročně ZSK by měl být vyměněn každé 3 měsíce Postup je mnohem složitější, než ukazuje tato prezentace Jsou dostupné automatické nástroje 30

Reálný příklad 31

Příklad s pravými jmény zonename k podpisu je udp53.org jméno zonefile je udp53.org Adresář obsahující zonefile je /zone/udp53.org Úplná cesta k zonefile je: /zone/udp53.org/udp53.org 32

Příklad s pravými jmény 33 <přidejte dnssec enable k named.conf> cd /zone/udp53.org dnssec keygen a rsasha1 b 1024 n ZONE udp53.org dnssec keygen a rsasha1 b 4096 n ZONE f KSK udp53.org cat Kudp53*key >> udp53.org dnssec signzone N INCREMENT udp53.org <změňte vstupy zónového souboru pro použití.signed>

Příklad s pravými jmény Původně, /zone/udp53.org obsahovala POUZE zonefile udp53.org Po skončení: 2 ZSK soubory (.key a.private) 2 KSK soubory (.key a.private) 2 zónové soubory (nepodepsané a.signed) soubor dsset udp53.org (DS RRs) 34 soubor keyset udp53.org (DNSKEY RRs)

Příklad s pravými jmény zonefile začal s 71 řádky 2 378 znaky Skončil s 665 řádky 26 970 znaky 35

Oznamte nadřazené zóně DNSSEC Vaše nadřazená zóna musí nyní vložit DS RR pro vytvoření řetězu důvěry 36 Postupy se budou lišit podle organizací, ale musí být provedeny bezpečně bude vyžadovat použití dsset a/nebo keyset souborů

Nadřazená zóna bez podpory DNSSECu 37 Ne všechny TLD podporují DNSSEC Ve skutečnosti podporuje v současnosti DNSSEC VELMI MÁLO TLD Poskytněte váš DNSKEY těm stranám, u kterých chcete, aby ověřovali vaši zónu. Musí to být provedeno bezpečně, nejen pouze jako dig

Pevné body důvěry (Trust Anchors) 38

Pevné body důvěry Pro ověření ostatních zón musíte vložit pevný bod důvěry pro každý zónu, kterou budete chtít ověřovat Nejvyšší pevný bod důvěry bude pocházet od podepsané root zóny (. ) 39

Pevné body důvěry Až bude podepsána root zóna, bude vyžadován pouze jeden pevný bod důvěry Dokonce i poté, co bude podepsána root zóna, je stále možné a pravděpodobné, že bude potřeba mít další pevné body důvěry 40

Pevné body důvěry 41 V současnosti (Léto 2008), root zóna (. ) není podepsána Jsou vyžadovány jednotlivé pevné body důvěry Pevné body důvěry musí být získány důvěryhodnými prostředky DNS není jedním z těchto prostředků, AVŠAK...

Pevné body důvěry dig udp53.org DNSKEY udp53.org. 14400 IN DNSKEY 256 3 5 BE[...]/V1 udp53.org. 14400 IN DNSKEY 257 3 5 BE[...]1ylot7 Pomocí digu získáme DNSSEC klíče, které mohou být ověřeny pomocí dalších prostředků (web, telefon, tištěná média, atd.) 42

Pevné body důvěry bude zapotřebí, aby named.conf. obsahoval: trusted keys { }; udp53.org. 257 3 5 BE[...]1ylot7 ; isc.org. 257 3 5 BEAAAAO[...]ZCqoif ; Klíč pro KAŽDOU zónu, kterou chcete ověřovat 43

Pevné body důvěry Správa jednotlivých pevných bodů důvěry je složitá Aby pomohlo vyřešit tento problém, vytvořilo ISC DLV Domain Lookaside Validation RR záznam koncept DLV registru 44

Domain Lookaside Validation 45

DLV Při ověřování hledá resolver v nadřazené zóně záznam DS pro zónu, která je ověřována Pokud neexistuje, je vytvořen dotaz na záznam DLV v zóně registru DLV Pokud je úspěšná, je DLV RR použito jako DS pro danou zónu 46

Příklad DLV udp53.org je podepsaná Vlastník udp53.org se registroval do DLV registru u ISC Je vytvořen DNSSEC dotaz na A RR jména www.udp53.org Není nalezen DS záznam v.org pro zónu udp53.org 47

Příklad DLV 48 Resolver bez zapnutého DLV nebude v tomto bodě schopen provést ověření Resolver se zapnutým DLV bude hledat udp53.org.dlv.isc.org. DLV RR Tento DLV RR pak bude použit jako DS pro zónu udp53.org.

Povolení DLV Použití DLV pro ověření je provedeno na rekurzivním serveru Pro DLV registr musí být vytvořen důvěryhodný klíč Konfigurace dnssec lookaside musí být napojena na DLV trust anchor 49

Povolení DLV named.conf: trusted keys { }; dlv.isc.org. 257 3 5 BEA[...]uDB ; options { }; dnssec lookaside "." trust anchor dlv.isc.org.; 50

Generování DLV RRs 51 Při podepisování zóny pro registrátora DLV přidejte přepínač l (malé L) k dnssec signzone: adnssec signzone [ o zonename] [ N INCREMENT] l dlvzone [ k KSKfile] zonefile [ZSKfile] dlvzone bude závislá na DLV registru

Generování DLV RRs Na základě předchozího příkladu: dnssec signzone N INCREMENT l dlv.isc.org. udp53.org 52 V tomto bodě bude vytvořen soubor dlvkey udp53.org, který je rovnou připraven k odeslání správci ISC DLV

Registrace v DLV Kontaktujte registrátora DLV pro instrukce jak prokázat vlastnictví zóny a platnost DLV RR záznamu Vložení vašeho DLV RR záznamu do registru DLV musí být provedeno důvěryhodným způsobem 53

ISC registr DLV http://www.isc.org/ops/dlv/ 54

Dotazy? Komentáře? 55

Ne! Ne, ne, ne 6! Řekl jsem 7 Nikdo to nezvládne za 6 minut Kdo nasadí DNSSEC během 6 minut? 56

Testování a ladění DNSSECu 57

Testování DNSSECu Nyní, když distribuujete podepsané DNSSEC RR záznamy, funguje to? Mark Andrews uvedl, že DNSSEC může být laděn pouze pomocí příkazů dig a date Tady je jak na to! 58

Dotazování na DNSSEC Dotaz vyžadující ověřená data z jakéhokoliv resolveru poskytne RRset v odpovědi Dotaz vyžadující nepodepsaná data z jakéhokoliv resolveru poskytne RRset v odpovědi 59

Dotazování na DNSSEC Dotaz, který validujícímu resolveru vrátí upravená nebo neplatná data, skončí s chybou SERVFAIL Pro aplikace (a uživatele) se bude doména jevit jako neexistující Příznak CD v hlavičce umožní, aby i neplatná data byla odeslána 60

výstup dig bez DNSSECu dig ;; [..] status: NOERROR ;; flags: qr rd ra; Správná odpověď; odpověď (qr), požadovaná rekurze (rd), rekurze k dispozici (ra) 61

výstup dig bez DNSSECu dig www.udp53.org a ;; [..] status: NOERROR ;; flags: qr rd ra; Z validujícího resolveru tohle jsou garantovaná správná data 62

výstup dig bez DNSSECu dig www.udp53.org a ;; [..] status: NOERROR ;; flags: qr rd ra; Ale jak víte, že váš resolver provádí validaci? 63

výstup dig s DNSSECem dig +dnssec www.udp53.org a ;; [..] status: NOERROR ;; flags: qr rd ra ad Jako předtím, ale tentokrát autentizované! 64

Dotazování na DNSSEC 65 Pro vrácení příznaku AD musí mít resolver provádějící ověření pevný bod důvěry, který může být zpětně vystopován (pomocí DS RR záznamů) Pokud řetěz důvěry nevede k pevnému bodu důvěry, nebude příznak AD nastaven, ale RRSIG záznamy budou i tak vráceny

výstup dig DNSSEC dig +dnssec www.udp53.org a www.udp53.org. 3600 IN A 192.168.154.2 www.udp53.org. 3600 IN RRSIG A 5 3 3600 20080627122225 20080617122225 46704 udp53.org. XEkXkv9MCRiGbxO9T0dkNY+3y5EZRB6s6YOk0pFAVUL/y8VDeJphc8yb K6E/YLvraItdGvIvpy4P1OuIY09BGQ== Pokud je AD nastaveno, resolver má pevný bod důvěry, pokud ne, pořád máme data, která můžeme ověřit sami 66

Dotazování na DNSSEC 67 Pokud víme, že komunikujeme s validujícím resolverem a dostaneme zpět SERVFAIL, může se jednat o neověřená podepsaná data Pokud je to tak, nastavení bitu CD v dotazu způsobí, že resolver i tak zašle nevalidní data

výstup dig DNSSEC dig +dnssec +cd www.udp53.org a www.udp53.org. 3600 IN A 192.168.154.2 www.udp53.org. 3600 IN RRSIG A 5 3 3600 20080627122225 20080617122225 46704 udp53.org. XXXXXXXXXX Neplatný záznam RRSIG (XXXXXXXXXX), ale s příznakem +cd, proto dostaneme odpověď 68

výstup dig DNSSEC dig +dnssec +cd www.udp53.org a www.udp53.org. 3600 IN A 192.168.154.2 www.udp53.org. 3600 IN RRSIG A 5 3 3600 20030627122225 20030617122225 46704 udp53.org. XEkXkv9MCRiGbxO9T0dkNY+3y5EZRB6s6YOk0pFAVUL/y8VDeJphc8yb K6E/YLvraItdGvIvpy4P1OuIY09BGQ== 69 Data v podpisu ukazují, že podpis je expirovaný Porovnejte s aktuálním datem

Dotazování na DNSSEC Všimněte si, že je snadné zkontrolovat datum na podpisech Je mnohem těžší (není v lidských silách?) najít chybu v klíči samotném Předchozí příklad je krajně nepřirozený (XXX?) 70

Dotazování na DNSSEC Další problém, který může nastat je chybějící nebo jiný hash nebo klíč DS v nadřazené zóně DNSKEY v aktuální zóně Není těžké určit ani tuto chybu! 71

výstup dig DNSSEC dig +dnssec +cd www.udp53.org www.udp53.org. 3600 IN A 192.168.154.2 www.udp53.org. 3600 IN RRSIG A 5 3 3600 20080627122225 20080617122225 46704 udp53.org. XEkXkv9MCRiGbxO9T0dkNY+3y5EZRB6s6YOk0pFAVUL/y8VDeJphc8yb K6E/YLvraItdGvIvpy4P1OuIY09BGQ== Podpis byl vytvořen s klíčem 46704 72

výstup dig DNSSEC dig +cd +multi udp53.org dnskey udp53.org. 14400 IN DNSKEY 256 3 5 ( BEAAAAO2oQi7U9m9i495S/XoAk+j8QxxnBHon6fa7nlN 7xoqrSr/xzy3+IerFS1KgJz1gJGbTsGV0WI1/bvAzIEK Uh+p ) ; key id = 46704 DNSKEY v zóně existuje Pokud ne, nepůjde ověřit! 73

výstup dig DNSSEC dig +cd +multi udp53.org dnskey udp53.org. 14400 IN DNSKEY 256 3 5 ( B[...]p ) ; key id = 46704 udp53.org. 14400 IN DNSKEY 257 3 5 ( B[...]J ) ; key id = 64249 ZSK DNSKEY v zóně existuje Připojený KSK je 64249 74

výstup dig DNSSEC dig +norec @gtld udp53.org ds ;; >>HEADER<< opcode: QUERY, status: NOERROR, id: 29385 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2 DS v nadřazené zóně neexistuje Pokud neuděláme DLV, tohle je důvod, proč se neautentizuje 75

výstup dig DNSSEC dig +norec @gtld udp53.org ds ;; >>HEADER<< opcode: QUERY, status: NOERROR, id: 29385 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2 Server bude vracet odpovědi, ale bez příznaku AD Neexistuje řetěz důvěry až k pevnému bodu důvěry 76

výstup dig DNSSEC dig udp53.org.dlv.isc.org dlv udp53.org.dlv.isc.org. 3257 IN DLV 64249 5 2 ( 59C58FD329F1C33628C92FC4B763EF9ADB833804D60D 18D439AB04F6302C20FD ) udp53.org.dlv.isc.org. 3257 IN DLV 64249 5 1 ( D5D722703D848E85D85E8A8442AF47512B385418 ) KSK 64249 DLV v registru ISC existuje, poskytuje DS pro zónu 77

Řetěz důvěry 78 Trust anchor pro dlv.isc.org DLV záznam pro udp53.org.dlv.isc.org KSK pro udp53.org ZSK pro udp53.org Podpis pro www.udp53.org bit AD nastaveno!

Dotazy? Komentáře? 79

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář