DNSSEC IMPLEMENTATIE OP CAMPUS LESSONS LEARNED – UNIVERSITEIT TWENTE JOHAN MOELAERT (ICTS) INFORMATIE BRONNEN • Workshop DNSSEC bij SURFnet • DNSSEC Mastery van Michael W. Lucas Lessons learned van DNSSEC-implementaties op campus 04-12-2014 2 INRICHTINGSADVIEZEN • Een set Name servers voor intern gebruik - Alleen gezaghebbend voor private zones - Alleen intern toegankelijk • Een set Name servers voor extern gebruik - Alleen gezaghebbend voor publieke zones - Geen recursie - Algemeen toegankelijk Lessons learned van DNSSEC-implementaties op campus 04-12-2014 3 UITGANGS SITUATIE Lessons learned van DNSSEC-implementaties op campus 04-12-2014 4 INRICHTING PRIVATE SERVERS Lessons learned van DNSSEC-implementaties op campus 04-12-2014 5 INRICHTING PUBLIEKE SERVERS Lessons learned van DNSSEC-implementaties op campus 04-12-2014 6 PROBLEEMPUNTEN • Serial Number in SOA - Oude vorm CCYYMMDDHH - Nieuwe vorm CYYMMDDHH0+2000000000 voorbeeld 2014113013 -> 2141130130 (goed tot 1 januari 2230) • DNS correctheid - DNS is heel coulant - DNSSEC is heel streng -> NS record koppeling tussen zones (gebruik eventueel een testomgeving) Lessons learned van DNSSEC-implementaties op campus 04-12-2014 7 KEY MANAGEMENT KSK Rollover double-signing ZSK Rollover pre-publish geheel automatisch in bind9.9 wel moeten de benodigde keys vooraf aangemaakt worden. Lessons learned van DNSSEC-implementaties op campus 04-12-2014 8 CONCLUSIES • Als men bind wil gebruiken, gebruik dan bind9.9 • Let op relaties tussen zones. Een item is pas geheel gevalideerd als alle onderdelen dat zijn (CNAME verwijzingen) • DNSSEC analyses http://dnssec-debugger.verisignlabs.com/ verisignlabs Lessons learned van DNSSEC-implementaties op campus 04-12-2014 9
© Copyright 2024 ExpyDoc
