DNSSEC
Objetivo
• Implementar o DNSSEC no servidor
autoritativo para o domínio redes.br.
– Assinatura digital das informações da zona.
– Utiliza o conceito de chaves assimétricas.
– Integridade e autenticidade.
DNSKEY
• É a chave pública de uma zona.
Exemplo de consulta DNSKEY
RRSIG
• É a assinatura de um RRset específico com
uma determinada chave (DNSKEY).
• RRset é o conjunto de registros de uma zona.
DS – Delegação Signer
• O Record DS forma uma cadeia de confianca.
• Esta garante a autenticidade das delegações
de uma zona até um ponto de confiança (uma
chave ancorada).
Funcionamento
• RRsets são assinados com a chave privada da
zona, gerando os RRSIGs.
• A chave pública é usada para verificar a
assinatura dos RRsets.
• A autenticidade da chave é verificada pelo
registro DS assinado na zona PAI.
DS – Delegação Signer
• Representa um hash de um registro DNSKEY.
• Indica:
– Que a zona delegada está assinada.
– Qual a chave usada na zona delegada.
• A zona PAI possui autoridade pelo registro DS
das zonas delegadas.
• O registro DS não deve aparecer no FILHO.
Gerando as chaves
• Antes de poder assinar a zona redes.br, devemos gerar
o par de chaves (pública e privada).
• Para isso usamos o comando abaixo, mas antes, crie
um diretório para armazená-las.
mkdir chaves
cd chaves
dnssec-keygen -r /dev/urandom -f KSK –a RSASHA1 -b 1024 -n ZONE redes.br
• O comando irá gerar dois arquivos com extensões .key
e .private.
Argumentos
-r Especifica a origem da semente randômica.
-f Configura o flag que foi especificado no
campo flag da chave pública incluida na zona
(DNSKEY).
-a Seleciona o algoritmo de criptografia.
-b A quantidade de bits da chave.
-n Especifica o tipo de chave. Em nosso caso,
iremos gerar uma chave para assinar uma zona.
Adicionando a chave pública para a
zona
• Para isto podemos usar o comando cat.
cat chaves/*.key >> redes.br.direto
Assinando a zona
• Use o comando:
dnssec-signzone –S –z –o redes.br redes.br.direto
• O comando irá gerar um novo arquivo de zona com a
extensão .signed.
• Seu período de validade é de 30 dias.
Named.conf
• Altere a referência para o arquivo de zona que
passa a ser redes.br.direto.signed.
Download
  1. No category

05 DNSSEC

Chaves para a Mobilização

Chaves para a Mobilização

Slide 1

Slide 1

Lúcia Maria Chaves Tourinho convida você para o lançamento dos

Lúcia Maria Chaves Tourinho convida você para o lançamento dos

1 de 1 O que são chaves? Chaves são arquivos gerados por

1 de 1 O que são chaves? Chaves são arquivos gerados por

A MELHOR QUALIDADE COM TODA A COR Informação sobre o

A MELHOR QUALIDADE COM TODA A COR Informação sobre o

CONSELHO SUPERIOR DO MINISTÉRIO PÚBLICO

CONSELHO SUPERIOR DO MINISTÉRIO PÚBLICO

MUNICÍPIO DE CHAVES EDITAL 7812014 Carlos Augusto

MUNICÍPIO DE CHAVES EDITAL 7812014 Carlos Augusto

Elaborado por: Elaborado para:

Elaborado por: Elaborado para:

chaves para a vida – abrindo as

chaves para a vida – abrindo as

SISTEMA DE CONTROLO DE ACESSOS PARA ELEVADORES

SISTEMA DE CONTROLO DE ACESSOS PARA ELEVADORES

Aula1

Aula1

2/.f("S 4 Institui no Município de São Paulo o "Dia do

2/.f("S 4 Institui no Município de São Paulo o "Dia do

(Aviso-Altera\347oesNatal 2014.cdr)

(Aviso-Altera\347oesNatal 2014.cdr)

controle remoto, chaveiro, acessórios e presentes

controle remoto, chaveiro, acessórios e presentes

Circular 22 - Sindicato dos Bancários do Norte

Circular 22 - Sindicato dos Bancários do Norte

Simulado Online 2014/2 | Prova de Matemática

Simulado Online 2014/2 | Prova de Matemática

dos seus interesses económicos e financeiros. Reverenciado pelos

dos seus interesses económicos e financeiros. Reverenciado pelos

81 - CUIDADO COM FERRAMENTAS MANUAIS

81 - CUIDADO COM FERRAMENTAS MANUAIS

Manual do produto - Full Gauge Controls

Manual do produto - Full Gauge Controls

CAD-B-PAG-03 8/10/2011 1a magazine_3697

CAD-B-PAG-03 8/10/2011 1a magazine_3697

Ao construir relações duradouras, baseadas na confiança, ajudará a

Ao construir relações duradouras, baseadas na confiança, ajudará a

integração de cartões inteligentes java card a uma - PRP

integração de cartões inteligentes java card a uma - PRP