LinuxParty

Cómo asegurar transacciones DNS entre servidores con TSIG

| Escrito por Javier Orovengua | Correo electrónico | Visto: 5819

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

TSIG representa firmas de transacción, que proporciona un mecanismo seguro para comunicaciones generalmente entre servidores maestro y esclavo, pero puede ampliarse para actualizaciones dinámicas también. En este tutorial se supone que ya tiene 2 servidores DNS, 1 server maestro con IP 192.168.0.1 y otro servidor esclavo DNS con IP: 192.168.0.2, vamos a configurarlos para usar TSIG para las transacciones entre ellos.

Paso 1 En primer lugar usted necesita generar la clave de cifrado en el servidor DNS principal (192.168.0.1):

 

root@switchroot ]#   dnssec-keygen  -a  HMAC-MD5  -b  128  -n  HOST  secret.key

#this command will generate two files, one with .private and another with .key extensions
[root@switchroot ]#  cat    Ksecret.key+157+50029.private

Private-key-format: v1.2
Algorithm:    157 (HMAC_MD5)
key:    cfepTknNESC4cSoup0e6pQ==


# Rename private key file
[root@switchroot ]#   mv    Ksecret.key+157+50029.private     /etc/transfer.key

# Now modify file and write content as follows
[root@switchroot ]#    vim    /etc/transfer.key

key   "secret.key"   {

algorithm    hmac-md5;

secret "cfepTknNESC4cSoup0e6pQ==";

};

# Save and exit the file.

# Copy key from Master DNS to Slave DNS server (192.168.0.2) 
[root@switchroot ]#   scp   /etc/transfer.key    192.168.0.2:/etc/transfer.key

Paso 2: Incluir el archivo "transfer.key" en el archivo de configuración del servidor Maestro (192.168.0.1). 

[root@switchroot ]#  vim   /etc/named.conf

include   "/etc/transfer.key"; 

options {
        listen-on port 53 { 127.0.0.1; 192.168.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        query-source    port 53;
        query-source-v6 port 53;
        allow-query    { localhost;  192.168.0.0/24; };
        allow-transfer {  key   "secret.key";  };
};


[root@switchroot ]#  chkconfig   named   on
[root@switchroot ]#  service    named    restart

Paso 3: Incluir el archivo "transfer.key" en el archivo de configuración del servidor Esclavo (192.168.0.2). 

[root@switchroot ]#   vim   /etc/named.conf

include   "/etc/transfer.key";
servers 192.168.0.1  {
Keys  {  "secret.key";  };
};

options {
        listen-on port 53 { 127.0.0.1; 192.168.0.2; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        query-source    port 53;
        query-source-v6 port 53;
        allow-query    { localhost; 192.168.0.0/24; };
};


[root@switchroot ]#  chkconfig   named   on
[root@switchroot ]#  service    named    restart

Ya está! Ahora los servidores usarán claves TSIG para realizar transacciones entre ellos.

¡Salud!

No estás registrado para postear comentarios

Categoría: Seguridad

Relacionados


Redes:


   

 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

El Top de LinuxParty

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Top 15 artículos por Fecha

Viendo artículos de: Octubre de 2025

Últimos comentarios

Filtro por Categorías

Designed by ExtreHost.