LAB 3Nâng cao

DNSSEC - Bảo mật DNS

Hướng dẫn cấu hình DNSSEC để ký số và xác thực DNS

90 phút

2 phần

Mục tiêu bài thực hành

Hiểu về DNSSEC và cách hoạt động
Tạo ZSK và KSK keys
Ký zone file với DNSSEC
Cấu hình DNSSEC validation

Yêu cầu trước khi bắt đầu

• Hoàn thành LAB 1 và LAB 2

Phần 1: DNSSEC Validation

Bước 1: Kiểm tra BIND

Kiểm tra BIND đã được cài đặt và đang chạy

which named
named -v
ps aux | grep named
systemctl status bind9

Bước 2: Cấu hình DNSSEC

Thêm cấu hình DNSSEC vào named.conf.options

options {
    ...
    dnssec-enable yes;
    dnssec-validation yes;
};

Bước 3: Cấu hình trust anchor

Cấu hình trust anchor cho root zone

trusted-keys {
    . 257 3 8 "<key-here>";
};

Phần 2: Manual DNSSEC Signing

Bước 1: Tạo Zone Signing Key (ZSK)

Tạo ZSK với thuật toán RSASHA256

cd /etc/bind/keys
dnssec-keygen -r /dev/urandom -a rsasha256 -b1024 -n ZONE example.vn

Bước 2: Tạo Key Signing Key (KSK)

Tạo KSK với key dài hơn

dnssec-keygen -r /dev/urandom -a rsasha256 -b2048 -f KSK -n ZONE example.vn

Bước 3: Ký zone

Ký zone file với các keys đã tạo

cd /etc/bind
dnssec-signzone -o example.vn -N INCREMENT -t \
    -k keys/Kexample.vn.+005+<KSK> \
    master/db.example.vn keys/Kexample.vn.+005+<ZSK>