Cómo asegurar transacciones DNS entre servidores con TSIG

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.

Cómo asegurar transacciones DNS entre servidores con TSIG

Publicado: 01 Agosto 2013 | Escrito por Javier Orovengua | Imprimir | Correo electrónico | Visto: 3195

Ratio: 5 / 5

TSIG representa firmas de transacción, que proporciona un mecanismo seguro para comunicaciones generalmente entre servidores maestro y esclavo, pero puede ampliarse para actualizaciones dinámicas también. En este tutorial se supone que ya tiene 2 servidores DNS, 1 server maestro con IP 192.168.0.1 y otro servidor esclavo DNS con IP: 192.168.0.2, vamos a configurarlos para usar TSIG para las transacciones entre ellos.

Paso 1 En primer lugar usted necesita generar la clave de cifrado en el servidor DNS principal (192.168.0.1):

root@switchroot ]#   dnssec-keygen  -a  HMAC-MD5  -b  128  -n  HOST  secret.key

#this command will generate two files, one with .private and another with .key extensions
[root@switchroot ]#  cat    Ksecret.key+157+50029.private

Private-key-format: v1.2
Algorithm:    157 (HMAC_MD5)
key:    cfepTknNESC4cSoup0e6pQ==


# Rename private key file
[root@switchroot ]#   mv    Ksecret.key+157+50029.private     /etc/transfer.key

# Now modify file and write content as follows
[root@switchroot ]#    vim    /etc/transfer.key

key   "secret.key"   {

algorithm    hmac-md5;

secret "cfepTknNESC4cSoup0e6pQ==";

};

# Save and exit the file.

# Copy key from Master DNS to Slave DNS server (192.168.0.2) 
[root@switchroot ]#   scp   /etc/transfer.key    192.168.0.2:/etc/transfer.key

Paso 2: Incluir el archivo "transfer.key" en el archivo de configuración del servidor Maestro (192.168.0.1).

[root@switchroot ]#  vim   /etc/named.conf

include   "/etc/transfer.key"; 

options {
        listen-on port 53 { 127.0.0.1; 192.168.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        query-source    port 53;
        query-source-v6 port 53;
        allow-query    { localhost;  192.168.0.0/24; };
        allow-transfer {  key   "secret.key";  };
};


[root@switchroot ]#  chkconfig   named   on
[root@switchroot ]#  service    named    restart

Paso 3: Incluir el archivo "transfer.key" en el archivo de configuración del servidor Esclavo (192.168.0.2).

[root@switchroot ]#   vim   /etc/named.conf

include   "/etc/transfer.key";
servers 192.168.0.1  {
Keys  {  "secret.key";  };
};

options {
        listen-on port 53 { 127.0.0.1; 192.168.0.2; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        query-source    port 53;
        query-source-v6 port 53;
        allow-query    { localhost; 192.168.0.0/24; };
};


[root@switchroot ]#  chkconfig   named   on
[root@switchroot ]#  service    named    restart

Ya está! Ahora los servidores usarán claves TSIG para realizar transacciones entre ellos.

¡Salud!