SECU DNS - a-kalin0/Admin-Projet-CAA GitHub Wiki
SECU DNS
Bienvenue sur la documentation de l'implémentation de la sécurité DNS.
Prérequis
- Avoir lu l'analyse de sécurité portant sur la sécurité DNS pour bien comprendre les risques dans ce domaine.
Implémentation du DNSSEC
- Voici le tuto qui a été suivi pour implémenter le DNSSEC.
Pour générer les clés, nous avons commencé par modifier notre Dockerfile du DNS public en y ajoutant ces 3 commandes.
RUN cd /etc/bind
RUN dnssec-keygen -a RSASHA256 -b 1024 -n ZONE l1-1.ephec-ti.be
RUN dnssec-keygen -a RSASHA256 -b 1024 -n ZONE -f KSK l1-1.ephec-ti.be
Cependant, lors du lancement de nos conteneurs, nous avons remarqué que les clés n'étaient pas placées au bon endroit (dans /etc/bind), mais plutôt à la racine. Par conséquent, nous avons dû les créer directement dans le conteneur du DNS public.
Une fois que les clés sont correctement placées, nous pouvons exécuter les commandes suivantes dans l'ordre :
cat Kl1-1.ephec-ti.be.+008+*.key >> l1-1.ephec-ti.be
dnssec-signzone -t -g -o l1-1.ephec-ti.be l1-1.ephec-ti.be /etc/bind/Kl1-1.ephec-ti.be.+008+*.private
dig DNSKEY l1-1.ephec-ti.be @172.20.1.9 +multiline
service named restart
cat dsset-l1-1.ephec-ti.be.
Sur ce screen en dessous, on peut clairement voir que la zone a été signée.
Test de fonctionnement
Nous pouvons vérifier si notre DNSSec a été correctement mis en place en utilisant MXToolBox, par exemple