Re: Bind9 vragen

To: Paul van der Vlis <paul@vandervlis.nl>
Cc: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: Re: Bind9 vragen
From: Wouter Verhelst <wouter@debian.org>
Date: Fri, 13 Jul 2018 15:17:24 +0200
Message-id: <[🔎] 20180713131724.GB4148@grep.be>
In-reply-to: <308570d4-5d21-dcae-1579-b3649ba46192@vandervlis.nl>
References: <308570d4-5d21-dcae-1579-b3649ba46192@vandervlis.nl>

On Wed, Jun 27, 2018 at 02:04:37PM +0200, Paul van der Vlis wrote:
> Hoi,
> 
> Ik ben bezig met het implementeren van DNSsec en rndc op bind9 voor een
> authoritatieve nameserver.

Jeuj.

> Rndc is een tool van bind om domeinen toe te voegen (eerder gebruikte ik
> hiervoor eigen scriptjes).

Neen.

rndc is een tool om bind te beheren. Je kan daar inderdaad vanalles mee
doen, zoals domeinen toevoegen, maar niet alleen dat.

> Ik zie dat bind dingen opslaat in /var/cache/bind/ , bij een "cache"
> denk ik aan een duplicatie van informatie, het origineel staat dan
> ergens anders. Misschien is dat ook zo.
> 
> De manuals die ik vind op internet over Bind zijn vaak oud of van
> slechte kwaliteit. Degene die ik nog het beste vond is van Digital Ocean
> en is van 2014. Wat me daar opvalt is dat ze bijvoorbeeld keys opslaan
> in de root van /var/cache/bind/ , dat lijkt me een rare plek.

De échte manual van bind is de "Administrator's Reference Manual":

https://www.isc.org/downloads/bind/doc/

Daar staat ook een "BIND DNSSEC Guide", die je wil lezen.

> https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2
> 
> Wat lijkt jullie een goede plek om keys en zones neer te zetten, zelf
> denk ik over /etc/bind/zones/ en /etc/bind/keys/ .

Dat is ook (ongeveer) wat ik doe.

> Voor de keys wil ik graag een aparte map, want ik overweeg ze ergens
> anders neer te zetten zodat ze offline zijn, maar wel te mounten.

Sure.

> Vernieuwen jullie de KSK en de ZSK regelmatig of niet?

Dat moet je doen voor de veiligheid.

> En wat voor strategie hebben jullie voor online of offline bewaren?

Persoonlijk doe ik dat laatste niet.

> Hoe vaak vernieuwen jullie de RRSIG, als er geen wijzigingen zijn?

Dat kan je aan bind overlaten (en dat raad ik je heel erg aan):

zone "dyn-cust.nixsys.be" {
	type master;
	update-policy {
		grant local-ddns zonesub any;
		grant wouter@GREP.BE zonesub any;
		grant cgi zonesub any;
	};
	allow-transfer { !notslaves; key latin; };
	file "/etc/bind/zones/dyn-cust.nixsys.be";
	key-directory "/etc/bind/keys";
	auto-dnssec maintain;
};

De belangrijkste lijnen hierboven zijn die met "key-directory" en
"auto-dnssec". De eerste configureert waar je je keys dropt (die je van
tijd tot tijd moet genereren met "dnssec-keygen", waarbij je ook tijden
moet opgeven -- de manpage is daar redelijk duidelijk over). BIND zal
die keys dan automatisch inladen, en de RRSIGs automatisch roteren. De
KSKs worden ook automatisch vervangen op basis van de tijden die je aan
dnssec-keygen meegegeven hebt. Alleen de glue van je ZSKs moet je nog
handmatig updaten (want daar heeft BIND geen toegang toe).

Bovenstaande is een directe kopie uit mijn live configuratie van een
domein waarin een aantal klanten met dynamisch IP-adres zitten. Bij de
klant draait een cronjob die gewoon een wget doet naar een CGI-script;
dat script draait dan nsupdate met een speciale "cgi" key, wat de zone
aanpast. Werkt perfect: dynamische DNS-updates met DNSSEC-ondersteuning
:-)

> Het is mij nog niet helemaal duidelijk wat het "dsset" bestand nu
> precies doet.

Dat heeft te maken met de glue van je DNSSEC, en is redelijk belangrijk.

DNSSEC werkt als volgt:

- In de root zone zit er een aantal DS records voor de naam "be" met
  daarin de fingerprints van de KSKs van het domein "be"
- In de "be" zone zitten er DNSKEY records voor die KSKs. Deze KSKs
  tekenen de RRs van de DNSKEY records van de ZSKs.
- De ZSKs van de "be" zone tekenen dan alle andere RRs in die zone,
  inclusief het DS record voor "nixsys.be"

Het zelfde verhaal wordt dan herhaald door "nixsys.be" dat DS records
bevat voor "dyn-cust.nixsys.be", enzovoort.

Het "dsset" bestand bevat simpelweg de DS records die je aan je parent
zone moet doorgeven.

> Ik ben overigens aan het testen met het domein sociotech.nl. Mocht
> iemand nog iets zien wat niet in orde is, dan hoor ik dat graag.

Daarvoor is dnsviz.net nuttig:

http://dnsviz.net/d/sociotech.nl/dnssec/

Je ZSK en KSK zijn dubbel zo lang als aangeraden. Dit gaat
performantie-issues veroorzaken, omdat de handtekening van je RRs
daardoor niet meer binnen één DNS-pakket past.

-- 
Could you people please use IRC like normal people?!?

  -- Amaya Rodrigo Sastre, trying to quiet down the buzz in the DebConf 2008
     Hacklab

Reply to:

Follow-Ups:
- Re: Bind9 vragen
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Re: Xfce met xdm
Next by Date: Re: Bind9 vragen
Previous by thread: Re: Bind9 vragen
Next by thread: Re: Bind9 vragen
Index(es):
- Date
- Thread