Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

Seite 4: Resolver abschalten

Inhaltsverzeichnis

In BIND 9.7 und 9.8 muss DNSSEC explizit eingeschaltet werden. Gute Praxis ist, auch bei neueren Versionen in der Konfigurationsdatei DNSSEC einzuschalten, sodass beim Blick in die Datei klar wird, dass die Funktion aktiv ist. Da Ihr DNS-Server für seine Zone autoritativ ist, schalten Sie im options-Block von /etc/named.conf den Resolver durch Einfügen einer Zeile aus:

options {
# Haupt- und Schlüsselverzeichnis
directory "/var/named";
key-directory "keys";
# DNSSEC anschalten
dnssec-enable yes;
# Resolver abschalten
recursion no;
...

Die DNSSEC-Schlüssel liegen typischerweise im Ordner /var/named/keys, den BIND alle 60 Minuten nach gültigen DNSSEC-Schlüsseln für die gehosteten Zonen durchsucht. Der Server signiert automatisch jede Zone mit allen passenden Schlüsseln. Außer bei einem Key-Rollover darf dort immer nur ein gültiges Schlüsselpaar pro Domain liegen (KSK und ZSK, siehe unten). Sonst wird die Zone mit mehreren Schlüsseln signiert, was zu sehr großen DNS-Antworten führt und DDoS-Angriffe ermöglicht. Bei BIND ist die Gültigkeitsfrist auf 30 Tage voreingestellt, sodass die Signaturen im selben Rhythmus erneuert werden müssen – was BIND auf Wunsch selbst erledigt (siehe unten).

Änderungen an der DNS-Zone müssen dagegen direkt bei der Publizierung signiert werden. Dafür bietet BIND zwei Methoden an: Dynamische Zonen und Inline-Signing. Dynamische Zonen müssen mit DNS-Updates nach RFC 2136, also etwa mit dem Tool nsupdate, geändert werden. Eine Anleitung für DANE mit dynamischen Zonen finden Sie hier.

Zonen mit Server-Adressen sind meistens statisch, sodass Sie sie wie gewohnt per Editor pflegen können. Das Signieren erledigt BIND, sobald es die Datei(en) erneut einliest. Das ist jedoch nur bei statischen Zonen erlaubt. Die Funktion aktivieren Sie durch Einfügen einer Zeile in der Zonendefinition in named.conf:

zone "example.org" IN {
type master;
file "masters/example.org";
# automatische DNSSEC-Verwaltung anschalten
auto-dnssec maintain;
# Inline-Signing aktivieren
inline-signing yes;
...

Die zusätzlich eingefügte Zeile mit auto-dnssec maintain schaltet das automatische Aktualisieren der Signaturen ein, sodass Sie das nicht selbst alle 30 Tage erledigen müssen.

Nun prüfen Sie mit dem Befehl named-checkconf -z, ob Konfigurations- und Zonendateien fehlerfrei sind. Das Tool meldet Probleme mit Zeilennummer und Grund, was die Fehlerbeseitigung erleichtert. Stimmt alles, lassen Sie BIND per rndc reload seine Konfiguration neu laden.

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten