Affichage des articles dont le libellé est DNSSEC. Afficher tous les articles
Affichage des articles dont le libellé est DNSSEC. Afficher tous les articles

lundi 30 mars 2015

Configuration de DNSSEC sur un serveur 2012 en powershell

Bien le bonjour,

Voici comment configurer le DNSSEC en powershell sur un Windows serveur 2012.

#Définir le nom de la zone
$zonename =  "secure.domaine.tld"

#Création d'une zone intégrée à l'AD avec une réplication dans la forêt.
Add-DnsServerPrimaryZone -Name $zonename -ReplicationScope Forest

#Ajout d'enregistrement dans la zone
Add-DnsServerResourceRecord -ZoneName $zonename -A -Name mail -IPv4Address 10.0.0.5
Add-DnsServerResourceRecord -ZoneName $zonename -MX -Name . -MailExchange mail.domaine.tld -Preference 10

#Définir ou redéfinir le maitre des clés pour la zone
Reset-DnsServerZoneKeyMasterRole -ZoneName $zonename -KeyMasterServer dc2.domaine.tld -SeizeRole -Force

#Définir la méthode utilisée pour les RR non existants (nsec ou nsec3)
#Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec
Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec3 -DistributeTrustAnchor DnsKey -DSRecordGenerationAlgorithm Sha256 -EnableRfc5011KeyRollover $False -NSec3HashAlgorithm RsaSha1

#Création de la clé KSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type KeySigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 2048

#Création de la clé ZSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type ZoneSigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 1024

#Signer la zone
Invoke-DnsServerZoneSign -ZoneName $zonename -Force

Prochain article sur la mise en place d'un serveur WSUS via Powershell sur un serveur 2012.

Salutation,
Guillaume
à Aucun commentaire:
Libellés : , , ,

jeudi 26 mars 2015

DNSSEC et chaine d'approbation

Bien le bonjour,

Petit point sur le DNSSEC qui est utilisé pour aider à protéger les requêtes DNS de l’interception et de la falsification.
Il utilise des clés de chiffrement et des signatures numériques pour vérifier que les réponses DNS sont valides et emploie un certain nombre de nouveaux enregistrements de ressource pour signer et publier des clés :

  • DNSKEY : Publie la clé publique de la zone.
  • Delegation Signer (DS) :  Enregistrement de délégation de zone qui contient le hachage de la clé publique d'une zone enfant. Cet enregistrement est signé par la clé privée de la zone parente.
  • Resource Record Signature (RRSIG) : Contient une signature pour un jeu d'enregistrements DNS
  • Next Secure (NSEC) : Authentifie le fait que l'hôte n'existe pas.
  • NSEC3 : Hache de l'enregistrement NSEC.

Schéma de la chaîne d’approbation DNSSEC
Schéma de la chaîne d’approbation DNSSEC
Schéma de la chaîne d’approbation DNSSEC

Vous pouvez utiliser les sites suivant pour afficher les informations DNSSEC sur la zone souhaitée :

Prochain article sur la mise en place du DNSSEC sur un Windows serveur 2012 en powershell.

Salutation,
Guillaume
à Aucun commentaire:
Libellés : , ,
Inscription à : Commentaires (Atom)