Podstawowe mechanizmy zabezpieczeń usługi Domain Name System
Prowadzący: Krzysztof Gierłowski
E-mail: gierk@eti.pg.gda.pl
Laboratorium dotyczy podstawowych mechanizmów zabezpieczeń wykorzystywanych w usłudze jest Domain Name System (DNS). Obejmuje ono zagadnienia konfiguracji klientów i serwerów DNS w systemie Linux.
W realizacji zadań niezbędne będą:
- Znajomość architektury i sposobu pracy systemu DNS
- zapytania rekurencyjne / zapytania iteracyjne,
- root-serwery, serwery pierwszego poziomu itd.
- delegacja domen DNS,
- strefy typu master i slave,
- transfery stref.
- Znajomość rekordów DNS: SOA, NS, PTR, A, AAAA.
- Praktyczna umiejętność konfiguracji:
- klienta DNS w systemie Linux,
- serwera BIND w wersji 9 (Linux),
- tworzenie serwerów master i slave,
- tworzenie plików bazy danych dla stref DNS,
- umijętność wdrożenia zabezpieczeń bazujących na kluczach TSIG,
- umiejętność kontroli dostępu do funkcji takich jak transfery stref, aktualizacje dynamic-update oraz zapytania z użyciem filtrów bazujących na adresach IP oraz kluczach TSIG,
- umijętność konfiguracji widoków serwera DNS.
- Umiejętności użycia poleceń: ping, dig, nsupdate, dnssec-keygen.
Przykładowe problemy na wejściówkę:
- Rekord typu [SOA, NS, A, PTR, AAAA] służy do ...
- Rekord typu [SOA, NS, A, PTR, AAAA] ma następującą składnię...
- Strefy typu master i slave – różnice między nimi, wzajemne zależności.
- Strefy typu zwykłego i odwrotnego – przeznaczenie, stosowane rekordy.
- Co to jest zapytanie iteracyjne? Kiedy jest stosowane?
- Co to jest zapytanie rekurencyjne? Kiedy jest stosowane?
- Co to jest transfer strefy (zone transfer)? Do czego służy? Kiedy się odbywa? Kto go rozpoczyna?
- Co to jest mechanizm TSIG? DO czego służy?
- Jakie klucze i mechanizmy kryptograficzne są wykorzystywane w mechaniźmie TSIG?
- Co oznacza podana składnia opcji allow-update, allow-transfer, allow-query?
- Wskazać skłanię opcji allow-update, allow-transfer, allow-query mającą określony skutek.
- Co to jest widok (view)? Co spowoduje podana składnia definicji widoku.
- Wskazać składnię deklaracji widoku mającą określony skutek.
Materiały
- Instrukcja do laboratorium
Materiały dodatkowe
- BIND 9 Administrator Reference Manual
- Opis teorii DNS z O’Reilly „DNS & BIND” (po angielsku).
Planowane typy zadań
- Uruchomienie serwera DNS, stworzenie strefy typu master i umieszczenie w niej rekordów typu A. Weryfikacja poprawnośći działania poleceniem dig.
- Wdrożenie mechanizmu dynamic-update i demonstracja jego działania z użyciem poleceń nsupadate i dig.
- Stworznie strefy typu slave i konfiguracja transferów stref między serwerami.
- Zabezpieczenie dostęu do różnych funkcji serwera (zapytań, dynqamic-update, transferów stref, ...) z użyciem filterów wykorzystujących adresy IP.
- Wdrożenie na serwerze mechanizmu TSIG, zastosowanie go do kontroli dostępu do różnych funkcji serwera i weryfikacja jego działania.
- Wdrożenie na serwerze mechanizmu widoków i weryfikacja jego działania.
- Zastosowanie mechanizmu widoków w połączeniu z mechanizmem TSIG.
- DNS server configuration, creation of master zone and A records. Testing of server functionality with dig command.
- Deployment of dynamic-update mechanism. Demonstration of its functionality with nsupdate and dig commands.
- Creation of slave zone and configuration of zone-transfers from master server.
- Deployment of source IP address based access control to server functions (queries, dynamic-update, zone-transfers, ...).
- Deployiment of TSIG mechanism and its use to control access to server functions. Verification of TSIG functionality with nsupdate and dig commands.
- Deployment of "view" mechanism on the server. Verification of its functionality.
- Deployment of "view" mechanism on the server in conjuration with TSIG mechanism. Verification of its functionality.