BIND 9.7.3: DNSSEC

February 1, 2012

Heute habe ich auf meinem LAN-DNS-Server - als Nameserversoftware wird BIND 9.7.3 genutzt - die DNSSEC Funktion sowie die DNSSEC Validierung aktiviert. Der Nameserver dient den Clients zur Auflösung von Hostnamen im LAN sowie zur Auflösung von Domainnamen im Internet. Obwohl er für Internetdomains einen festen Forwarder konfiguriert hat, kann er durchaus DNSSEC validieren. Dies geschieht, indem der Trust-Anchor der Root-Zone (also der aktuelle Key Signing Key) in BIND hinterlegt und somit ein gültiges Chain of Trust aufgebaut wird. Durch das Hinterlegen des Keys unter der Kategorie “managed keys” ist sogar ein automatisches Updaten des KSK (nach RFC 5011) möglich, sobald die Root-Zone ihren KSK aktualisiert.
Durch diese beiden Einstellungen in der Datei named.conf wird DNSSEC aktiviert und die Validierung eingeschaltet:

options {<br />
        ...<br />
        dnssec-enable yes;<br />
        dnssec-validation yes;<br />
};

Der aktuelle Trust Anchor für die Root-Zone wird ebenfalls in der named.conf eingetragen:

managed-keys {
        /* Root Key */
        "." initial-key 257 3 8 "<a href="http://data.iana.org/root-anchors/draft-icann-dnssec-trust-anchor.txt">PUT IN THE LATEST ROOT-ZONE KSK HERE</a>";
};

Ab sofort profitieren also alle meine LAN-Clients von der zusätzlichen Sicherheit im DNS-Betrieb.
Zusätzlich kommt das Mozilla Firefox Plugin “DNSSEC-Validator” zum Einsatz. Dort kann in den Einstellungen nun der lokale Nameserver eingetragen werden, wodurch sofort zu erkennen ist, ob eine Domain (vorausgesetzt sie ist im gültigen Chain of Trust der Root-Zone) DNSSEC-gesichert ist oder nicht.

Back...