configurer_dnssec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Révision précédente | |||
— | configurer_dnssec [2024/02/14 18:15] (Version actuelle) – [Mise à jour de la clé de signature de zone] Flaz | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== | ||
+ | |||
+ | ===== Utilité ===== | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | DNSSEC apporte une sécurité nouvelle au DNS grâce au chiffrement et à la signature des information contenues dans le DNS. La clé de voûte du système est le chiffrement des données des registres eux-mêmes, sécurisant la chaîne de dérivation des noms de domaines. Ainsi, .net va garantir que ses données sont sécurisées et que les données de sécurisation des serveurs DNS faisant autorité sur mondomaine.net sont fiables. | ||
+ | |||
+ | En savoir plus : | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * les extensions de sécuritédu DNS]] (fr) (afnic) | ||
+ | |||
+ | ===== Racine et TLDs ===== | ||
+ | Pour que le système soit fiable, il faut que la chaîne de confiance soit établie. Cela suppose que la racine (" | ||
+ | |||
+ | [[https:// | ||
+ | ===== Principe ===== | ||
+ | |||
+ | Le principe simplifié est le suivant : | ||
+ | * on crée une paire de clés publique/ | ||
+ | * on transmet la clé publique au gestionnaire de la zone de niveau supérieur (le // | ||
+ | * sur le serveur DNS gérant la zone concernée, on génère des enregistrements signés qui viennent surcharger les enregistrements classiques. | ||
+ | |||
+ | En savoir plus ; [[https:// | ||
+ | ====== Mise en œuvre simplifiée ====== | ||
+ | <note warning> | ||
+ | Je décris ici une mise en œuvre simplifiée sur un serveur DNS Debian-Bind muni de l' | ||
+ | |||
+ | *Pointer le navigateur sur : Webmin > Servers > BIND DNS server > // | ||
+ | * Key alogorithm : // | ||
+ | * Create | ||
+ | * vérifier le fichier de zone | ||
+ | * appliquer la zone | ||
+ | * Pour la suite, on revient sur Virtualmin | ||
+ | * < | ||
+ | * copier la DNSSEC public key | ||
+ | * ouvrir une fenêtre de navigateur sur votre registrar | ||
+ | * choisir le nom de domaine | ||
+ | * aller à la gestion du DNNSEC (dans la section((Les services proposés par les registrars varient : gestion automatisée de DNSSEC si vous utilisez leurs DNS, déclaration et transfert au registre si vous utilisez vos propres DNS…))concernant le serveurs de noms) | ||
+ | * coller et ajouter la clé publique copiée précédemment copiée | ||
+ | * votre registrar transmet votre clé au registre | ||
+ | * laisser le temps à l' | ||
+ | * vérifier l' | ||
+ | |||
+ | C'est tout ! | ||
+ | |||
+ | <note important> | ||
+ | <note tip>Il est vivement recommandé de commencer sur un domaine de test et de voir comment votre système DNS se comporte dans le temps avant de basculer sur des domaines utilisés en production.</ | ||
+ | |||
+ | ===== Vérification ===== | ||
+ | Toute action((Surtout de cette ampleur. Il en va de la disponibilité du nom de domaine et de tous les services bâtis sur ce nom.)) demandant vérification, | ||
+ | * [[http:// | ||
+ | Pour que tous les feux soient au vert, il faut attendre que les serveur DNS faisant autorité((Pas besoin d' | ||
+ | |||
+ | ===== Mise à jour de la clé de signature de zone ===== | ||
+ | La clé de signature de zone a une durée de vie limitée. Elle doit donc être régulièrement régénérée et les enregistrements doivent être signés avec cette nouvelle clé. | ||
+ | |||
+ | Sur un hébergement administré via Webmin, cette mise à jour doit s' | ||
+ | |||
+ | Il n'est pas nécessaire de re-déclarer la KSK publique (à la zone parente((Que ce soit un tld ou pas ;-) ))) puisqu' | ||
+ | ====== Quelques explications ====== | ||
+ | Le but n'est pas de faire un exposé sur le DNSSEC mais d' | ||
+ | ===== Types de clés ===== | ||
+ | Afin d' | ||
+ | |||
+ | Une première clé sert au déchiffrement des enregistrements présents dans la zone. Cette clé (publique) est inscrite dans la zone qu' | ||
+ | |||
+ | Cette seule signature de zone ne sert pas à grand chose. En effet, si une intruse a trouvé le moyen de modifier une zone non protégée par DNSSEC, elle peut aussi bien générer sa propre ZSK, et trafiquer la zone en chiffrant les enregistrements avec cette clé. Il faut donc s' | ||
+ | |||
+ | Pour ce faire, on signe la //ZSK// avec une autre clé.On parle alors de //KSK// : Key Signing Key (clé de signature de clé). Une fois cette //KSK// publiée dans la zone concernée, on la transmet à l' | ||
+ | ===== Enregistrements ===== | ||
+ | La zone contient de nouveaux type d' | ||
+ | * NSEC, permet la déclaration explicite des types d' | ||
+ | * RRSIG, les signatures des enregistrements de la zone, | ||
+ | * DNSKEY, les clés publiques, | ||
+ | * DS, les signatures des clés; ces enregistrement figurent dans la zone parente. | ||
+ | |||
+ | ==== Quelques mot sur NSEC ==== | ||
+ | Quelle sécurité supplémentaire apporte les enregistrement NSEC ? NSEC permet d' | ||
+ | ====== Renouvellement des clés ====== | ||
+ | Il est hasardeux de laisser "en roue libre" un dispositif que l'on souhaite sécurisé. Cela signifie qu'il faut renouveler les clés ou, pour le moins et impérativement, | ||
+ | |||
+ | L' | ||
+ | |||
+ | Dans l' | ||