O documento descreve como configurar o Bind para automatizar o provisionamento e reassinatura de zonas DNSSEC, permitindo a adição e remoção de registros de recursos de forma dinâmica via nsupdate.
Replicação e tuning do Firebird na nuvemSaveincloud
O documento discute como configurar e otimizar o Firebird na nuvem, incluindo como configurar o servidor no marketplace, realizar tuning de parâmetros como cache de disco e memória, e replicar dados entre bancos locais e remotos.
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni
1) O documento descreve planos para a infraestrutura de armazenamento e rede de uma empresa, incluindo mapeamento de servidores, volumes, configurações de SAN, backup e armazenamento.
2) Serão conectados 16 drives de fita entre 8 controladores, com cabos curtos de 30 metros e conectores LC/LC.
3) A topologia SAN será de 1 para 2 fabrics para melhor segurança, com vantagens e desvantagens discutidas.
1) O documento discute tópicos de virtualização de banco de dados, incluindo configurações de BIOS, hyper-threading, mapeamento de CPUs no Linux, escalando frequência, prioridades de agendamento e memória.
2) É apresentado um exemplo de desempenho do Oracle em uma arquitetura Nehalem com e sem SMT habilitado.
3) Fatores como NUMA, huge pages e monitoramento de estatísticas NUMA são discutidos no contexto do desempenho do banco de dados.
Wilson Rogério Lopes presented on the evolution of DDoS attacks and mitigation options. He discussed how amplification attacks have grown in size using protocols like NTP and SSDP. IoT botnets using CCTV cameras conducted large DDoS attacks in 2016. Mitigation options discussed include using clean pipe providers, cloud DDoS services, BGP routing, and homemade tools like iptables and ModSecurity. The presentation recommended a hybrid mitigation strategy using both on-premise and cloud-based solutions.
This document summarizes a research project exploring DDoS vulnerabilities in OpenFlow controllers. The researchers aimed to test if an OpenFlow controller could be overwhelmed by a flood of packet-in messages from switches. They found that the Floodlight controller's performance degraded significantly under high packet-in loads. They also demonstrated a way to generate packet-in events from endpoint hosts using specially crafted ARP packets, allowing them to deny network service. The research highlights security issues in current SDN implementations and the need for mechanisms like rate limiting and anomaly detection to mitigate DDoS risks.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
DDoS Attack Detection & Mitigation in SDNChao Chen
This document summarizes a presentation on detecting and mitigating distributed denial of service (DDoS) attacks in software-defined networks. It discusses using sFlow and the Floodlight controller to detect common DDoS attack types like ICMP floods, SYN floods, and DNS amplification. An application was developed in Python to classify attacks and push static flow entries to direct attack traffic to the sFlow collector for analysis. The scheme was tested in a Mininet virtual network and shown to successfully mitigate ICMP and SYN flood attacks. Future work includes testing DNS amplification and UDP floods, implementing adaptive sampling rates and thresholds, and designing an unblocking mechanism.
GlusterFS é um sistema de arquivos distribuído e open source capaz de escalar diversos petabytes e gerenciar milhares de clientes. Ele agrega unidades de armazenamento remotas em um único volume e implementa funcionalidades como replicação, espelhamento e striping de arquivos através de tradutores. Sua configuração envolve instalação nos nós, criação de volumes e montagem pelos clientes.
Replicação e tuning do Firebird na nuvemSaveincloud
O documento discute como configurar e otimizar o Firebird na nuvem, incluindo como configurar o servidor no marketplace, realizar tuning de parâmetros como cache de disco e memória, e replicar dados entre bancos locais e remotos.
Valdir Adorni - Infra and S.A.N Assessment Integration SampleValdir Adorni
1) O documento descreve planos para a infraestrutura de armazenamento e rede de uma empresa, incluindo mapeamento de servidores, volumes, configurações de SAN, backup e armazenamento.
2) Serão conectados 16 drives de fita entre 8 controladores, com cabos curtos de 30 metros e conectores LC/LC.
3) A topologia SAN será de 1 para 2 fabrics para melhor segurança, com vantagens e desvantagens discutidas.
1) O documento discute tópicos de virtualização de banco de dados, incluindo configurações de BIOS, hyper-threading, mapeamento de CPUs no Linux, escalando frequência, prioridades de agendamento e memória.
2) É apresentado um exemplo de desempenho do Oracle em uma arquitetura Nehalem com e sem SMT habilitado.
3) Fatores como NUMA, huge pages e monitoramento de estatísticas NUMA são discutidos no contexto do desempenho do banco de dados.
Wilson Rogério Lopes presented on the evolution of DDoS attacks and mitigation options. He discussed how amplification attacks have grown in size using protocols like NTP and SSDP. IoT botnets using CCTV cameras conducted large DDoS attacks in 2016. Mitigation options discussed include using clean pipe providers, cloud DDoS services, BGP routing, and homemade tools like iptables and ModSecurity. The presentation recommended a hybrid mitigation strategy using both on-premise and cloud-based solutions.
This document summarizes a research project exploring DDoS vulnerabilities in OpenFlow controllers. The researchers aimed to test if an OpenFlow controller could be overwhelmed by a flood of packet-in messages from switches. They found that the Floodlight controller's performance degraded significantly under high packet-in loads. They also demonstrated a way to generate packet-in events from endpoint hosts using specially crafted ARP packets, allowing them to deny network service. The research highlights security issues in current SDN implementations and the need for mechanisms like rate limiting and anomaly detection to mitigate DDoS risks.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
DDoS Attack Detection & Mitigation in SDNChao Chen
This document summarizes a presentation on detecting and mitigating distributed denial of service (DDoS) attacks in software-defined networks. It discusses using sFlow and the Floodlight controller to detect common DDoS attack types like ICMP floods, SYN floods, and DNS amplification. An application was developed in Python to classify attacks and push static flow entries to direct attack traffic to the sFlow collector for analysis. The scheme was tested in a Mininet virtual network and shown to successfully mitigate ICMP and SYN flood attacks. Future work includes testing DNS amplification and UDP floods, implementing adaptive sampling rates and thresholds, and designing an unblocking mechanism.
GlusterFS é um sistema de arquivos distribuído e open source capaz de escalar diversos petabytes e gerenciar milhares de clientes. Ele agrega unidades de armazenamento remotas em um único volume e implementa funcionalidades como replicação, espelhamento e striping de arquivos através de tradutores. Sua configuração envolve instalação nos nós, criação de volumes e montagem pelos clientes.
1. O documento descreve uma aula sobre configuração de infraestrutura de rede no Windows Server 2008, incluindo a criação de uma rede virtual com 3 servidores, configuração de DNS e integração com Active Directory.
2. Será configurado o SERVER1 como servidor DNS para registrar os endereços dos servidores SERVER2 e SERVER3, enquanto o SERVER2 receberá a função de servidor IIS.
3. O domínio domx.local será integrado ao Active Directory para armazenar informações de zona e permitir atualizações seguras de
O documento discute a configuração de infraestrutura de rede no Windows Server 2008, incluindo configuração de IP, resolução de nomes, tipos de nós NETBIOS, instalação e configuração de servidores WINS e RRAS, e uso de IPv6. O autor é Thiago Inácio de Matos e o contato é thiago.matos@outlook.com.br.
O documento discute configuração de failover em protocolo DHCP usando MCLT (Maximum Client Lead Time) em servidores Linux e Windows Server 2008 R2. Ele explica como MCLT funciona colocando um limite de tempo entre concessões feitas por servidores primário e secundário. Também fornece instruções detalhadas sobre como configurar failover DHCP nos sistemas operacionais, incluindo arquivos de configuração e parâmetros necessários nos servidores primário e secundário.
Este documento discute a alta disponibilidade (HA) em servidores Linux. Ele apresenta o autor Sérgio Antônio Pohlmann e define HA. Também descreve os tipos básicos de HA, RAID, replicação de dados e monitoramento. Por fim, explica a solução de HA implementada no site ycube.net usando DRBD e scripts personalizados.
Este documento descreve configurações e comandos relacionados a servidores DNS, incluindo:
- Arquivos de configuração como named.conf que definem zonas autoritativas
- Tipos de registros DNS como SOA, NS, A e MX
- Comandos como dig e nslookup para testar operações DNS
O documento discute a implementação de IPSec no Windows Server 2008 de três formas: usando GPO, filtro ou firewall. Também aborda Branch Cache, um recurso que permite cache local no Windows Server 2008 R2, e NAP+VPN, onde será necessário instalar o AD CS e criar certificados, diretivas de rede e solicitação de conexão para validar a integridade da rede.
O documento apresenta uma introdução ao protocolo TCP/IP, abordando seu histórico, documentação e principais aplicações. Também discute sobre endereçamento de rede no TCP/IP, incluindo classes de endereços IP, roteamento, sub-redes e formato do datagrama IP.
O documento descreve a configuração de alta disponibilidade utilizando o Pacemaker e o DRBD. O Pacemaker é usado para implementar failover de serviços como Apache e IP virtual entre dois nós, enquanto o DRBD replica o armazenamento entre os nós para prover alta disponibilidade dos dados.
O documento descreve como configurar e dimensionar um cluster MySQL para uso na web. Inicialmente, ele mostra como criar um cluster simples em um único host para desenvolvimento. Em seguida, ele explica como expandir o cluster para múltiplos hosts para alta disponibilidade, adicionando nós de dados, servidores MySQL e nós de gerenciamento em hosts separados. Por fim, ele discute como dimensionar o cluster dinamicamente de acordo com a demanda da aplicação.
1) O documento descreve uma vulnerabilidade de autenticação no JBoss que permite o acesso não autorizado à console de gerenciamento.
2) Foi identificado um worm que explora esta vulnerabilidade para infectar servidores JBoss e executar processos maliciosos.
3) As contramedidas incluem remover arquivos e diretórios suspeitos, matar processos indesejados, atualizar o JBoss e monitorar tentativas de intrusão.
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Rodrigo Campos
1) O documento discute configurações de BIOS e hardware para melhor desempenho de bancos de dados em ambientes x86.
2) É abordada a Lei de Moore e como a inovação em tecnologia permite dobrar o número de transistores a cada dois anos, melhorando desempenho e reduzindo consumo.
3) Fatores como CPU, memória, I/O e disco influenciam o desempenho de servidores, e as configurações padrão de BIOS nem sempre são ideais para bancos de dados.
O documento fornece instruções para configurar infraestrutura de internet e servidores web em Debian/Ubuntu, incluindo configuração de endereço IP, servidor DNS, instalação e configuração de Apache, Nginx, PHP e bancos de dados MySQL e PostgreSQL.
Este documento descreve como configurar alta disponibilidade utilizando Heartbeat e DRBD. Heartbeat monitora a disponibilidade de servidores e movimenta serviços entre eles quando um falha. DRBD replica blocos de disco entre servidores para manter dados sincronizados. O documento explica como instalar, configurar e testar Heartbeat e DRBD juntos para fornecer alta disponibilidade para serviços e dados.
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfleandrodesousa13
Este documento fornece instruções para implementar servidores recursivos DNS (BIND e Unbound) com DNSSEC e Hyperlocal em sistemas operacionais CentOS e Xubuntu. Inicialmente apresenta conceitos sobre DNSSEC e Hyperlocal e preparação do ambiente de teste. Em seguida, explica como configurar o Unbound em CentOS para aplicar DNSSEC e Hyperlocal e como configurar o BIND em Xubuntu para os mesmos propósitos.
Palestra Teched Brasil 2010 - Sessão SRV307 - Dicas e Truques de Windows Serv...GBanin
O documento apresenta dicas e melhores práticas para o Active Directory e Windows Server, incluindo: (1) personalizando o MMC com consultas LDAP salvas; (2) gerenciando discos, incluindo expansão sem conversão; (3) recuperando senhas perdidas do administrador do domínio; e (4) habilitando recursos como a lixeira do Active Directory.
O documento descreve a instalação e configuração do Nagios, um sistema de monitoramento de infraestrutura, e seus componentes principais: o servidor Nagios, o gerenciador NCONF e o cliente NRPE. Ele explica como instalar cada parte, configurar checks em hosts remotos usando o NRPE e definir serviços, hosts e comandos de checagem no NCONF.
O documento descreve como configurar um servidor DHCP no Debian para fornecer endereços IP automaticamente para clientes na rede interna 10.0.0.0/24. Ele instrui o leitor a atualizar os pacotes, instalar o pacote dhcp3-server, editar o arquivo de configuração dhcpd.conf para definir parâmetros como domínio, servidor DNS e faixas de endereços, e reiniciar o serviço DHCP.
O documento descreve como configurar um servidor DHCP no Debian para fornecer endereços IP automaticamente para clientes na rede interna 10.0.0.0/24. Ele instrui o leitor a atualizar os pacotes, instalar o pacote dhcp3-server, editar o arquivo de configuração dhcpd.conf para definir parâmetros como domínio, servidor DNS e faixas de endereços, e reiniciar o serviço DHCP.
The document discusses DNS and Amazon Route 53. It includes links to videos about using Route 53 and global traffic management. It also lists different Route 53 routing policies like simple, failover, weighted, geolocation and latency-based routing. Private hosted zones and hybrid infrastructure are mentioned along with a link to an architecture diagram.
The document discusses AWS network infrastructure including regions, availability zones, VPCs, subnets, internet gateways, NAT gateways, transit gateways, and direct connect. It explains how to set up redundant direct connect connections between an on-premises network and AWS for high availability. It also discusses using BGP, route tables, and other techniques to optimize routing and connectivity. Links are provided to documentation on transit gateway route tables and gateway load balancers.
Mais conteúdo relacionado
Semelhante a DNSSEC -Provisioning and Automatization using Bind
1. O documento descreve uma aula sobre configuração de infraestrutura de rede no Windows Server 2008, incluindo a criação de uma rede virtual com 3 servidores, configuração de DNS e integração com Active Directory.
2. Será configurado o SERVER1 como servidor DNS para registrar os endereços dos servidores SERVER2 e SERVER3, enquanto o SERVER2 receberá a função de servidor IIS.
3. O domínio domx.local será integrado ao Active Directory para armazenar informações de zona e permitir atualizações seguras de
O documento discute a configuração de infraestrutura de rede no Windows Server 2008, incluindo configuração de IP, resolução de nomes, tipos de nós NETBIOS, instalação e configuração de servidores WINS e RRAS, e uso de IPv6. O autor é Thiago Inácio de Matos e o contato é thiago.matos@outlook.com.br.
O documento discute configuração de failover em protocolo DHCP usando MCLT (Maximum Client Lead Time) em servidores Linux e Windows Server 2008 R2. Ele explica como MCLT funciona colocando um limite de tempo entre concessões feitas por servidores primário e secundário. Também fornece instruções detalhadas sobre como configurar failover DHCP nos sistemas operacionais, incluindo arquivos de configuração e parâmetros necessários nos servidores primário e secundário.
Este documento discute a alta disponibilidade (HA) em servidores Linux. Ele apresenta o autor Sérgio Antônio Pohlmann e define HA. Também descreve os tipos básicos de HA, RAID, replicação de dados e monitoramento. Por fim, explica a solução de HA implementada no site ycube.net usando DRBD e scripts personalizados.
Este documento descreve configurações e comandos relacionados a servidores DNS, incluindo:
- Arquivos de configuração como named.conf que definem zonas autoritativas
- Tipos de registros DNS como SOA, NS, A e MX
- Comandos como dig e nslookup para testar operações DNS
O documento discute a implementação de IPSec no Windows Server 2008 de três formas: usando GPO, filtro ou firewall. Também aborda Branch Cache, um recurso que permite cache local no Windows Server 2008 R2, e NAP+VPN, onde será necessário instalar o AD CS e criar certificados, diretivas de rede e solicitação de conexão para validar a integridade da rede.
O documento apresenta uma introdução ao protocolo TCP/IP, abordando seu histórico, documentação e principais aplicações. Também discute sobre endereçamento de rede no TCP/IP, incluindo classes de endereços IP, roteamento, sub-redes e formato do datagrama IP.
O documento descreve a configuração de alta disponibilidade utilizando o Pacemaker e o DRBD. O Pacemaker é usado para implementar failover de serviços como Apache e IP virtual entre dois nós, enquanto o DRBD replica o armazenamento entre os nós para prover alta disponibilidade dos dados.
O documento descreve como configurar e dimensionar um cluster MySQL para uso na web. Inicialmente, ele mostra como criar um cluster simples em um único host para desenvolvimento. Em seguida, ele explica como expandir o cluster para múltiplos hosts para alta disponibilidade, adicionando nós de dados, servidores MySQL e nós de gerenciamento em hosts separados. Por fim, ele discute como dimensionar o cluster dinamicamente de acordo com a demanda da aplicação.
1) O documento descreve uma vulnerabilidade de autenticação no JBoss que permite o acesso não autorizado à console de gerenciamento.
2) Foi identificado um worm que explora esta vulnerabilidade para infectar servidores JBoss e executar processos maliciosos.
3) As contramedidas incluem remover arquivos e diretórios suspeitos, matar processos indesejados, atualizar o JBoss e monitorar tentativas de intrusão.
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Rodrigo Campos
1) O documento discute configurações de BIOS e hardware para melhor desempenho de bancos de dados em ambientes x86.
2) É abordada a Lei de Moore e como a inovação em tecnologia permite dobrar o número de transistores a cada dois anos, melhorando desempenho e reduzindo consumo.
3) Fatores como CPU, memória, I/O e disco influenciam o desempenho de servidores, e as configurações padrão de BIOS nem sempre são ideais para bancos de dados.
O documento fornece instruções para configurar infraestrutura de internet e servidores web em Debian/Ubuntu, incluindo configuração de endereço IP, servidor DNS, instalação e configuração de Apache, Nginx, PHP e bancos de dados MySQL e PostgreSQL.
Este documento descreve como configurar alta disponibilidade utilizando Heartbeat e DRBD. Heartbeat monitora a disponibilidade de servidores e movimenta serviços entre eles quando um falha. DRBD replica blocos de disco entre servidores para manter dados sincronizados. O documento explica como instalar, configurar e testar Heartbeat e DRBD juntos para fornecer alta disponibilidade para serviços e dados.
Implementacao de servidores recursivos guia de praticas semcap ceptro br.pdfleandrodesousa13
Este documento fornece instruções para implementar servidores recursivos DNS (BIND e Unbound) com DNSSEC e Hyperlocal em sistemas operacionais CentOS e Xubuntu. Inicialmente apresenta conceitos sobre DNSSEC e Hyperlocal e preparação do ambiente de teste. Em seguida, explica como configurar o Unbound em CentOS para aplicar DNSSEC e Hyperlocal e como configurar o BIND em Xubuntu para os mesmos propósitos.
Palestra Teched Brasil 2010 - Sessão SRV307 - Dicas e Truques de Windows Serv...GBanin
O documento apresenta dicas e melhores práticas para o Active Directory e Windows Server, incluindo: (1) personalizando o MMC com consultas LDAP salvas; (2) gerenciando discos, incluindo expansão sem conversão; (3) recuperando senhas perdidas do administrador do domínio; e (4) habilitando recursos como a lixeira do Active Directory.
O documento descreve a instalação e configuração do Nagios, um sistema de monitoramento de infraestrutura, e seus componentes principais: o servidor Nagios, o gerenciador NCONF e o cliente NRPE. Ele explica como instalar cada parte, configurar checks em hosts remotos usando o NRPE e definir serviços, hosts e comandos de checagem no NCONF.
O documento descreve como configurar um servidor DHCP no Debian para fornecer endereços IP automaticamente para clientes na rede interna 10.0.0.0/24. Ele instrui o leitor a atualizar os pacotes, instalar o pacote dhcp3-server, editar o arquivo de configuração dhcpd.conf para definir parâmetros como domínio, servidor DNS e faixas de endereços, e reiniciar o serviço DHCP.
O documento descreve como configurar um servidor DHCP no Debian para fornecer endereços IP automaticamente para clientes na rede interna 10.0.0.0/24. Ele instrui o leitor a atualizar os pacotes, instalar o pacote dhcp3-server, editar o arquivo de configuração dhcpd.conf para definir parâmetros como domínio, servidor DNS e faixas de endereços, e reiniciar o serviço DHCP.
Semelhante a DNSSEC -Provisioning and Automatization using Bind (20)
The document discusses DNS and Amazon Route 53. It includes links to videos about using Route 53 and global traffic management. It also lists different Route 53 routing policies like simple, failover, weighted, geolocation and latency-based routing. Private hosted zones and hybrid infrastructure are mentioned along with a link to an architecture diagram.
The document discusses AWS network infrastructure including regions, availability zones, VPCs, subnets, internet gateways, NAT gateways, transit gateways, and direct connect. It explains how to set up redundant direct connect connections between an on-premises network and AWS for high availability. It also discusses using BGP, route tables, and other techniques to optimize routing and connectivity. Links are provided to documentation on transit gateway route tables and gateway load balancers.
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...Wilson Rogerio Lopes
O documento descreve a tecnologia Cisco TrustSec para segmentação de rede baseada em segurança. Ele explica como os usuários e dispositivos são classificados em Security Groups e recebem Security Group Tags que controlam o acesso de acordo com políticas centralizadas. Também apresenta casos de uso para bloqueio de comunicação entre usuários e controle de acesso a recursos de datacenter.
O documento discute ataques DDoS, incluindo um ataque de 400Gbps usando servidores NTP e um aumento de 223.935 notificações de ataques em 2014 no Brasil. Também apresenta métodos de mitigação como clean pipes de provedores, serviços de nuvem, load balancers e técnicas caseiras como iptables e ModSecurity.
O documento discute a implementação do DNSSEC no domínio ig.com.br, sendo o primeiro portal brasileiro a assinar seu domínio em 14 de maio de 2011. Detalha a política e infraestrutura de chaves para assinar o conteúdo da zona, assim como ferramentas e estatísticas para monitorar a operação dos servidores autoritativos e recursivos.
O documento discute estratégias de engenharia de tráfego para otimizar a entrada e saída de tráfego de um Sistema Autônomo (AS) conectado a um Ponto de Troca de Tráfego (PTT), manipulando atributos do BGP como preferência local e anúncios de rotas mais específicas. O objetivo é direcionar o máximo de tráfego possível via PTT para reduzir custos e melhorar a qualidade, sempre preferindo rotas de peering ao PTT em relação a rotas de trâ
O documento discute o DNS, DNSSEC e boas práticas relacionadas. Ele explica como o DNS funciona para mapear nomes de domínio para endereços IP, como o DNSSEC adiciona segurança ao DNS através da autenticação e integridade, e recomendações como configurar servidores autoritativos e recursivos com DNSSEC e separá-los fisicamente.
O documento apresenta um tutorial sobre DNS, abordando conceitos como hierarquia, tipos de registros e servidores. O cronograma descreve os tópicos a serem tratados, incluindo configuração de servidores autoritativos e recursivos, DNSSEC e balanceamento de carga.
DNSSEC -Provisioning and Automatization using Bind
1. DNSSEC – Provisionamento e Reassinatura
Automática com Bind
GTER 30
Wilson Rogério Lopes <wilson@registro.br>
Nov / 2010
2. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Motivação
Zonas com DNSSEC precisam ser reassinadas periodicamente
RRSIG's tem um período de validade
Falta de mecanismo padronizado para provisionamento de zonas
nos servidores master/slaves.
Bind a partir da versão 9.7.x fornece opções para
provisionamento e reassinatura automática de zonas.
3. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Introdução
DNSSEC
Extensão do protocolo DNS
Garante origem (autenticidade) e integridade
Tutorial DNSSEC - ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
Bind
Software do ISC que implementa o protocolo DNS
Versão 9.7.2 - http://www.isc.org/software/bind/972-p2
4. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Agenda
Cenário comum
Provisionamento de zonas master/slaves
Procedimento para assinatura de zonas com DNSSEC
Administração das zonas – adição/remoção resource records (RR's)
Cenário automatizado
Provisionamento de zonas via rndc
Smart Signing
Administração de zonas via dynamic updates
5. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Comum
Provisionamento de zonas no master e slaves
Servidor Master
- Criar arquivo de zona
- Incluir configuração da zona no named.conf (ou uso de include)
- Restart ou Hangup no processo named
Servidor Slave
- Incluir configuração da zona no named.conf (forma “manual” ou
scp,rsync...)
- Restart ou Hangup no processo named
* RR's da zonas recebidos via axfr/ixfr
8. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc
rndc – remote name daemon control
- TCP porta 953
- Usado para start/stop/reload do named
- Usa TSIG para assinar transação
- A partir da versão 9.7.0 – rndc sign
- A partir da versão 9.7.2 – rndc add zone / del zone
10. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc
Habilitar rndc e aplicar restrição de acesso
- Master
controls { inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
- Slave
controls { inet <ip_ext> port 953
allow { <ip_servidor_master>; } keys { "rndc-key"; };
};
11. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc
Gerar TSIG e incluir no rndc.conf
shell# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST rndc-key
rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "AeXbgTDog1zh87trVIQFJHw==";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
12. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc e Smart Signing
Configurar zona – Servidor Master
- Criar arquivo de zona - db.dominio.com.br
Deve conter pelo menos o SOA e os NS's
- Adicionar zona via rndc
shell# rndc addzone dominio.com.br '{type master; file "/etc/db.dominio.com.br";
auto-dnssec maintain; update-policy local; key-directory "etc/keys"; };'
. Gera um arquivo .nzf na raiz de configuração do Bind
. Não é necessário restart/hangup do named
13. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
auto-dnssec maintain;
- Permite o uso do rndc sign e a reassinatura automática das zonas quando
necessário
update-policy local;
- Habilita o dynamic update na zona
- Permite somente updates vindos de localhost
- Gera automaticamente uma chave TSIG para assinar os dynamic updates
<bind-rootdir>/var/run/named/session.key
key-directory "etc/keys";
- Diretório que armazenará as chaves dnssec.
14. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Gerar chaves que assinarão a zona
shell# dnssec-keygen -r /dev/urandom -K <bind-rootdir>/etc/keys -f KSK -a
RSASHA1 -b 1024 dominio.com.br
Assinar zona – somente na inclusão da zona
shell# rndc sign dominio.com.br
*A zona será assinada com a chave privada respectiva e por default as assinaturas
terão validade de 30 dias.
*A zona será reassinada e o serial será incrementado automaticamente pelo Bind
quando necessário.
*Se já existir uma chave no diretório keys no ato da adição da zona via rndc, esta já
será assinada, sem a necessidade de executar o rndc sign.
15. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc
Configurar zona – Servidor Slave
shell# rndc -s <ip-servidor-slave> addzone dominio.com.br '{type slave; file
"/etc/db.dominio.com.br"; masters { ip-servidor-master; }; };'
. Gera um arquivo .nzf na raiz de configuração do Bind
. Não é necessário restart/hangup do named
Log:
24-Nov-2010 16:46:49.285 general: info: received control channel command 'addzone
dominio.com.br {type master; file "/etc/db.dominio.com.br"; auto-dnssec maintain; update-policy
local; key-directory "etc/keys"; };'
24-Nov-2010 16:46:49.285 general: info: zone dominio.com.br/IN: loaded serial 2010112401
24-Nov-2010 16:46:49.285 general: info: zone dominio.com.br/IN: reconfiguring zone keys
16. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Provisionamento de zonas via rndc
Remoção zona
shell# rndc delzone dominio.com.br
Log:
20-Nov-2010 16:59:24.113 general: info: received control channel command 'delzone
dominio.com.br'
20-Nov-2010 16:59:24.113 general: info: zone dominio.com.br removed via delzone
17. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Administração de zonas via dynamic updates
Dynamic update – UDP porta 53
Operação necessária somente no servidor master
nsupdate – cliente para administração de RR's via dynamic updates
nsupdate -l
- Conectará em localhost e usará chave “session.key”gerada pelo Bind.
Adicionar RR - update add <RR> <RDATA>
Remover RR – update delete <RR> <RDATA>
18. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Administração de zonas via dynamic updates
Inclusão de um RR
shell# nsupdate -l
> update add www.dominio.com.br. 300 IN A 10.0.0.1
> show
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
www.dominio.com.br. 300 IN A 10.0.0.1
> send
19. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Administração de zonas via dynamic updates
Log:
24-Nov-2010 16:55:52.849 update: info: client 127.0.0.1#11577: updating zone
'dominio.com.br/IN': adding an RR at 'www.dominio.com.br' A
* RR será automaticamente assinado
* Serial será incrementado automaticamente
* SOA e NSEC's afetados serão reassinados automaticamente
20. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Administração de zonas via dynamic updates
Remoção de um RR
shell# nsupdate -l
> update delete www.dominio.com.br. A
> send
Log:
24-Nov-2010 16:58:37.376 update: info: client 127.0.0.1#62460: updating zone
'dominio.com.br/IN': deleting rrset at 'www.dominio.com.br' A
21. _______________________________________________________________________________________________________________
GTER 30 – DNSSEC – Provisionamento e Reassinatura Automática com Bind – Wilson Rogério Lopes <wilson@registro.br>
Cenário Automatizado
Administração de zonas via dynamic updates
Remoção de um RR
shell# nsupdate -l
> update delete www.dominio.com.br. A
> send
Log:
24-Nov-2010 16:58:37.376 update: info: client 127.0.0.1#62460: updating zone
'dominio.com.br/IN': deleting rrset at 'www.dominio.com.br' A