1. DNSSEC 이란? -DNSSEC은 공개키 암호화방식의 전자서명 메커니즘을 DNS 체계에 도입하여 적용하는 방법입니다. -DNS의 데이터 위변조 취약점을 보강하여 보안안전성을 강화하였습니다. 2. DNSSEC 설정방법 1) 디렉토리 생성하기mkdir /var/named/key 2) 암호화 키 생성하기cd /var/named/key [KSK키 생성]dnssec-keygen -r /dev/urandom -a NSEC3RSASHA1 -b 2048 -n ZONE -f KSK [도메인명] 아래와 같은 공개키와 사설키 2개 파일이 생성됩니다. K<zonename>+<algorithm>+<id>.keyK<zonename>+<algorithm>+<id>.private [ZSK키 생성]dnssec-keygen -r /dev/urandom -a NSEC3RSASHA1 -b 1024 -n ZONE [도메인명] 아래와 같은 공개키와 사설키 2개 파일이 생성됩니다.K<zonename>+<algorithm>+<id>.keyK<zonename>+<algorithm>+<id>.private *참고 서명 알고리즘 : 서명에 사용된 공개키 암호화 방식 알고리즘 코드 (5: RSASHA1, 7: NSEC3RSASHA1 – BIND v9.6 이상부터 NSEC3RSASHA1 지원) 보안 강화를 위해서는 /dev/urandom 대신에 /dev/random 사용이 권장됩니다. /dev/random은 난수 발생에 필요한 entropy가 충분히 모아진 후 난수를 생성합니다. ——————————————————————————————————————————————- *Zone Signing Key(ZSK)– 존의 모든 RR를 서명한다. *RR– 리소스 레코드 *DNSKEY– 도메인 존의 공개키 데이터를 저장하여 제공하기 위한 RR– 존은 개인키와 공개키 쌍을 가지고 있으며 개인키는 안전한 장소에 따로 보관되며, 개인키와 쌍을 이루는 공개키는 DNSKEY RR 의 형태로 명시되어 질의응답을 통해 배포됨 *RRSIG– 존 안에 있는 RRSet에 대한 개인 키의 전자서명한 결과값을 갖는 RR– RRSIG는 DNS 응답 메시지에 전자서명 대상 RR과 함께 포함되어 전달 *NSEC / NSEC3– DNS 데이터 부재 인증을 위해 정의된 RR– 특정 리소스 레코드가 존재하지 않음을 전자 서명을 통해 인증 할 수 있는 메커니즘을 제공– NSEC의 존목록화 문제를 해결하기 위해 NSEC3 레코드 추가 정의됨 ——————————————————————————————————————————————-[존 파일 수정]vi /var/named/test.zone 파일 가장 아래에 추가해줍니다.$INCLUDE /var/named/key/KSK값파일.key$INCLUDE /var/named/key/ZSK값파일.key [존 파일 서명]cd /var/nameddnssec-signzone -r /dev/urandom -K /var/named/key -o [도메인명] -S [존 파일명] 위와 같은 명령어 실행 시 RRSIG, NSEC, DNSKEY RR이 추가되어 서명된 존파일과 보안위임 설정용 DS RR 파일(dsset-도메인명.)이 생성됩니다. -S 옵션을 줄 경우 지정한 key디렉토리(/var/named/key)에서 키 파일들을 자동으로 읽어와서 서명을 하게 됩니다. [설정파일 수정]vi /etc/named.rfc1912.zones zone “도메인명” IN {type master;//file “존 파일명”; <— 아래줄과 같이 “존 파일명.signed” 으로 변경file “존 파일명.signed”; allow-update { none; };}; [DNSSEC 설정 적용]데몬을 재시작 해줍니다./etc/init.d/named restart [dig명령어로 질의 테스트]dig @127.0.0.1 127.0.0.1 [도메인명] soa +dnssec 클릭하시면 큰화면으로 보실수있습니다.
0개의 댓글이 있습니다.