Table of Contents

Nejdulezitejsi utilita ''dig' se nachazi v debianu v netradicne pojmenovanem baliku bez pomlcky 

 apt-get install dnsutils

Rozdilne odpovedi na spatne podepsanou (zfalsovanou) domenu www.rhybar.cz 

dig +dnssec +multi www.rhybar.cz
dig +cd +dnssec +multi www.rhybar.cz

Rozdilne odpovedi DNS serveru 

dig +dnssec +multi www.dnssec.cz @212.20.96.34
dig +dnssec +multi www.dnssec.cz @8.8.8.8

Analyza paketu 

tcpdump -n host 212.20.96.34 -X

Pridani nove domeny do bindu

Definice zony. Bind je velmi citlivy na uvozovky, stredniky a jina zviratka 

zone "dalibor.cz" {
	type "master";
	file "dalibor.cz";
};

Zonovy soubor 

$ORIGIN .
$TTL 8h
dalibor.cz. IN SOA ns.dalibor.cz. hostmaster.dalibor.cz (
                201401; serial
                8h; refresh
                4h; retry
                2d; expire
                8h; minimum
)
$ORIGIN dalibor.cz.
        IN      A       1.2.3.4
ns      IN      A       10.0.4.151
zeus    IN      A       10.0.4.151
        IN      A       10.0.4.190
        IN      A       10.0.4.196
mail    IN      A       10.0.4.151
www     IN      A       10.0.4.151
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "dalibor.cz" {
        type master;
        allow-transfer { 10.0.4.190; };
        file "dalibor.cz";
};

zone "kotrlik.cz" {
        type slave;
        masters { 10.0.4.187; };
        file "xxx";
};

Bind cache 

 rndc dumpdb -cache

BIND9

  • filipika proti prilisnemu vztahu bind9 a rfc
  • otazka kdo ma delat replikaci zon?

powerdns

apt-get install pdns-server mysql-server
* http://downloads.sourceforge.net/project/poweradmin/poweradmin-2.1.7.tgz?r=http%3A%2F%2Fwww.poweradmin.org%2F&ts=1409754165&use_mirror=optimate
 apt-get install apache2 php5

Zneuziti zony pescomnet.cz

Todle me bude stat vice nez jednoho panaka… 

dnssec-keygen -a RSASHA1 -b1024 -r /dev/urandom -f KSK pescomnet.cz
Kpescomnet.cz.+005+10531

dnssec-keygen -a RSASHA1 -b512 -r /dev/urandom  pescomnet.cz
Kpescomnet.cz.+005+63687
-rw-r--r--  1 root bind  212 2014-09-02 22:24 Kpescomnet.cz.+005+10531.key
-rw-------  1 root bind  937 2014-09-02 22:24 Kpescomnet.cz.+005+10531.private
-rw-r--r--  1 root bind  126 2014-09-02 22:26 Kpescomnet.cz.+005+63687.key
-rw-------  1 root bind  549 2014-09-02 22:26 Kpescomnet.cz.+005+63687.private

Klice pridame do bezneho zonoveho souboru 

 cat Kpescom*key >> pescomnet.cz

A podepiseme: 

dnssec-signzone pescomnet.cz
Verifying the zone using the following algorithms: RSASHA1.
Zone signing complete:
Algorithm: RSASHA1: ZSKs: 1, KSKs: 1 active, 0 revoked, 0 stand-by
pescomnet.cz.signed

Dulezita poznamka

Zóna .CZ vyžaduje KSK klíč

Po tomto nastavení vezmeme DNSKEY z podepsané zóny a pošleme jej přes svého registrátora do .CZ zóny:

pozn. nasledujici prikaz nemusi fungovat, pokud jste klice do domeny nepridali 

grep -E "DNSKEY[[:white:]]257" pescomnet.cz

Takze pouzivam zase dig 

    
     dig DNSKEY starlab.cz @localhost
     starlab.cz.             28800   IN      DNSKEY  257 3 5 AwEAAdSYwjNYONb00hXA4EBuTnjro5pNeZe5gHZSzBbR0OnRu7NEjehy zgQ81FkM9SwATwfWrKPEaRK3tx/WDm7wZkFKLH3KNgnD0OvxFbbO/9/u EBv8DVApNrq6zJhdrlQnSik3BRuR8Q470kCZ1a7Dodoo7YzVVv/Zv6vP zZwVqGa+qS63smPvm4q4XMuWm8QECodhKUJXzzoGPk+D9ZqTSQwziTEs 8r4wNEhgLNFiYeQBtZGjL6QdRJZy4Dc6d5faWAlveQnZmDJBilf52K43 kvUeOZz7kBZndv+OgRE35bRe3LKrJ1vi56D65lYDGDzNt8aZt/qKM54H SJSMfTHY24M=

Jak tento klíč poslat do registru je zapotřebí dohodnout s vlastním registrátorem.

 
linux/skoleni/dns.txt · Last modified: 2014/09/03 16:25 by admin