Seguridad adicional para transferencias de zona mediante través de claves cifradas.

Cuando se gestionan dominios a través de redes públicas, es importante considerar que si se tienen esquemas de servidores maestros y esclavos, siempre será más conveniente utilizar una clave cifrada en lugar de una dirección IP, debido a que esta última puede ser falsificada bajo ciertas circunstancias. A continuación explico el procedimiento, mismo que también ha sido añadido al documento Cómo configurar un servidor de nombres de dominio (DNS).

Comúnmente se definen las direcciones IP desde las cuales se permitirá transferencias de zonas, utilizando una configuración en el archivo /var/named/chroot/etc/named.conf como la ejemplificada a continuación, donde los servidores esclavos corresponden a los servidores con direcciones IP 192.168.1.11 y 192.168.1.12:

zone "mi-dominio.org" {
	type master;
	file "mi-dominio.org.zone";
	allow-update { none; }:
	allow-transfer { 192.168.1.11; 192.168.1.12; };
};

Lo anterior permite la transferencia de zona para los servidores con direcciones IP 192.168.1.11 y 192.168.1.12, los cuales utilizan la siguiente configuración en el archivo /var/named/chroot/etc/named.conf, ejemplificada a continuación, donde el servidor maestro corresponde al servidor con dirección IP 192.168.1.1:

zone "mi-dominio.org" {
	type slave;
	file "mi-dominio.org.zone";
	masters { 192.168.1.1; };
};

El inconveniente del esquema anterior es que es fácil falsificar las direcciones IP. A fin de evitar que esto ocurra, el método recomendado será utilizar una clave cifrada que será validada en lugar de la dirección IP. La llave se crea con el mandato dnssec-keygen, especificando un algoritmo, que puede ser RSAMD5 o RSA, DSA, DH (Diffie Hellman) o HMAC-MD5, el tamaño de la llave en octetos (bits), el tipo de la llave, que puede ser ZONE, HOST, ENTITY o USER y el nombre específico para la clave cifrada. DSA y RSA se utilizan para DNS Seguro (DNSSEC), en tanto que HMAC-MD5 se utiliza para TSIG (Transfer SIGnature o transferencia de firma). Lo más común es utilizar TSIG. En el siguiente ejemplo, se generará en el directorio de trabajo actual la clave mi-dominio.org, utilizando /dev/random como fuente de datos aleatorios, un algoritmo HMAC-MD5 tipo HOST de 128 octetos (bits):

dnssec-keygen -r /dev/random -a HMAC-MD5 -b 128 -n HOST mi-dominio.org

Lo anterior devuelve una salida similar a la siguiente:

Kmi-dominio.org.+157+32322

Al mismo tiempo se generaran dos archivos en el directorio /var/named/chroot/var/named/, que corresponderían a Kmi-dominio.org.+157+32322.key y Kmi-dominio.org.+157+32322.private. Kmi-dominio.org.+157+32322.key deberá tener un contenido como el siguiente, el cual corresponde al registro que se añade dentro del archivo de zona:

mi-dominio.org. IN KEY 512 3 157 NPuNuxvZAjtd3mriuygT8Q==

Kmi-dominio.org.+157+32322.private deberá tener un contenido como el siguiente:

Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: NPuNuxvZAjtd3mriuygT8Q==

En ambos casos, NPuNuxvZAjtd3mriuygT8Q== corresponde a la clave cifrada. Ambos deben tener la misma clave.

Los dos archivos solo deben tener atributos de lectura para el usuario named.

chmod 400 Kmi-dominio.org.+157+32322.*
chown named.named Kmi-dominio.org.+157+32322.*

A fin de poder ser utilizados, ambos archivos deben ser movidos hacia el directorio /var/named/chroot/var/named/.

mv Kmi-dominio.org.+157+32322.* /var/named/chroot/var/named

En el servidor maestro, se añade la siguiente configuración en el archivo /var/named/chroot/etc/named.conf:

key mi-dominio.org {
    algorithm HMAC-MD5;
    secret "NPuNuxvZAjtd3mriuygT8Q==";
};

zone "mi-dominio.org" {
	type master;
	file "mi-dominio.org.zone";
	allow-update { none; };
	allow-transfer { key mi-dominio.org; };
};

Los servidores esclavos utilizarían la siguiente configuración en el archivo /var/named/chroot/etc/named.conf, en donde se define la clave y que ésta será utilizada para realizar conexiones hacia el servidor maestro (192.168.1.1, en el ejemplo):

key mi-dominio.org {
	algorithm HMAC-MD5;
	secret "NPuNuxvZAjtd3mriuygT8Q==";
};

server 192.168.1.1 {
	keys { mi-dominio.org; };
};

zone "mi-dominio.org" {
	type slave;
	masters { 192.168.1.1; };
};

Comprobaciones.

Tanto en el servidor maestro como en los servidores esclavos, utilice el mandato tail para ver la salida del archivo /var/log/messages, pero solo aquello que contenga la cadena de caracteres named:

tail -f /var/log/messages |grep named

Al reiniciar el servicio named en servidor maestro, se debe mostrar una salida similar a la siguiente cuando un servidor esclavo realiza una transferencia:

Apr 17 01:57:40 m001 named[6042]: listening on IPv4 interface eth0, 192.168.1.64#53

Apr 17 01:57:40 m001 named[6042]: command channel listening on 127.0.0.1#953

Apr 17 01:57:40 m001 named[6042]: zone 0.in-addr.arpa/IN: loaded serial 42

Apr 17 01:57:40 m001 named[6042]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700

Apr 17 01:57:40 m001 named[6042]: zone 255.in-addr.arpa/IN: loaded serial 42

Apr 17 01:57:40 m001 named[6042]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700

Apr 17 01:57:40 m001 named[6042]: zone localdomain/IN: loaded serial 42

Apr 17 01:57:40 m001 named[6042]: zone localhost/IN: loaded serial 42

Apr 17 01:57:40 m001 named[6042]: zone mi-dominio.org/IN: loaded serial 2007041701

Apr 17 01:57:40 m001 named: Iniciación de named succeeded

Apr 17 01:57:40 m001 named[6042]: running

Apr 17 01:57:40 m001 named[6042]: zone mi-dominio.org/IN: sending notifies (serial 2007041701)

Apr 17 01:59:49 m001 named[6042]: client 192.168.1.11#32817: transfer of 'mi-dominio.org/IN': AXFR started

Al reiniciar el servicio named en los servidores esclavos, se debe mostrar una salida similar a la siguiente:

Apr 17 01:58:15 m011 named[5080]: listening on IPv4 interface eth0, 192.168.1.253#53

Apr 17 01:58:15 m011 named[5080]: command channel listening on 127.0.0.1#953

Apr 17 01:58:15 m011 named[5080]: zone 0.in-addr.arpa/IN: loaded serial 42

Apr 17 01:58:15 m011 named[5080]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700

Apr 17 01:58:15 m011 named[5080]: zone 255.in-addr.arpa/IN: loaded serial 42

Apr 17 01:58:15 m011 named[5080]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700

Apr 17 01:58:15 m011 named[5080]: zone localdomain/IN: loaded serial 42

Apr 17 01:58:15 m011 named[5080]: zone localhost/IN: loaded serial 42

Apr 17 01:58:15 m011 named[5080]: running

Apr 17 01:58:15 m011 named: Iniciación de named succeeded

Apr 17 01:58:15 m011 named[5080]: zone mi-dominio.org/IN: transferred serial 2007041701

Apr 17 01:58:15 m011 named[5080]: transfer of 'mi-dominio.org/IN' from 192.168.1.1#53: end of transfer

Apr 17 01:58:15 m011 named[5080]: zone mi-dominio.org/IN: sending notifies (serial 2007041701)

Seguridad adicional para transferencias de zona mediante través de claves cifradas. | 0 comentarios | Crea cuenta nueva

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.

Sondeo

Seguridad adicional para transferencias de zona mediante través de claves cifradas.

Comprobaciones.

Noticias Recientes

Comentarios Recientes

Enlaces Recientes