Podstawowe mechanizmy zabezpieczeń usługi Domain Name System

Laboratorium dotyczy podstawowych mechanizmów zabezpieczeń wykorzystywanych w usłudze jest Domain Name System (DNS). Obejmuje ono zagadnienia konfiguracji klientów i serwerów DNS w systemie Linux.

W realizacji zadań niezbędne będą:

1. Znajomość architektury i sposobu pracy systemu DNS
   • zapytania rekurencyjne / zapytania iteracyjne,
   • root-serwery, serwery pierwszego poziomu itd.
   • delegacja domen DNS,
   • strefy typu master i slave,
   • transfery stref.
2. Znajomość rekordów DNS: SOA, NS, PTR, A, AAAA.
3. Praktyczna umiejętność konfiguracji:
   • klienta DNS w systemie Linux,
   • serwera BIND w wersji 9 (Linux),
   • tworzenie serwerów master i slave,
   • tworzenie plików bazy danych dla stref DNS,
   • umijętność wdrożenia zabezpieczeń bazujących na kluczach TSIG,
   • umiejętność kontroli dostępu do funkcji takich jak transfery stref, aktualizacje dynamic-update oraz zapytania z użyciem filtrów bazujących na adresach IP oraz kluczach TSIG,
   • umijętność konfiguracji widoków serwera DNS.
4. Umiejętności użycia poleceń: ping, dig, nsupdate, dnssec-keygen.

Przykładowe problemy na wejściówkę:

1. Rekord typu [SOA, NS, A, PTR, AAAA] służy do ...
2. Rekord typu [SOA, NS, A, PTR, AAAA] ma następującą składnię...
3. Strefy typu master i slave – różnice między nimi, wzajemne zależności.
4. Strefy typu zwykłego i odwrotnego – przeznaczenie, stosowane rekordy.
5. Co to jest zapytanie iteracyjne? Kiedy jest stosowane?
6. Co to jest zapytanie rekurencyjne? Kiedy jest stosowane?
7. Co to jest transfer strefy (zone transfer)? Do czego służy? Kiedy się odbywa? Kto go rozpoczyna?
8. Co to jest mechanizm TSIG? DO czego służy?
9. Jakie klucze i mechanizmy kryptograficzne są wykorzystywane w mechaniźmie TSIG?
10. Co oznacza podana składnia opcji allow-update, allow-transfer, allow-query?
11. Wskazać skłanię opcji allow-update, allow-transfer, allow-query mającą określony skutek.
12. Co to jest widok (view)? Co spowoduje podana składnia definicji widoku.
13. Wskazać składnię deklaracji widoku mającą określony skutek.

Materiały

1. Instrukcja do laboratorium

Materiały dodatkowe

1. BIND 9 Administrator Reference Manual
2. Opis teorii DNS z O’Reilly „DNS & BIND” (po angielsku).

Planowane typy zadań

1. Uruchomienie serwera DNS, stworzenie strefy typu master i umieszczenie w niej rekordów typu A. Weryfikacja poprawnośći działania poleceniem dig.
2. Wdrożenie mechanizmu dynamic-update i demonstracja jego działania z użyciem poleceń nsupadate i dig.
3. Stworznie strefy typu slave i konfiguracja transferów stref między serwerami.
4. Zabezpieczenie dostęu do różnych funkcji serwera (zapytań, dynqamic-update, transferów stref, ...) z użyciem filterów wykorzystujących adresy IP.
5. Wdrożenie na serwerze mechanizmu TSIG, zastosowanie go do kontroli dostępu do różnych funkcji serwera i weryfikacja jego działania.
6. Wdrożenie na serwerze mechanizmu widoków i weryfikacja jego działania.
7. Zastosowanie mechanizmu widoków w połączeniu z mechanizmem TSIG.

1. DNS server configuration, creation of master zone and A records. Testing of server functionality with dig command.
2. Deployment of dynamic-update mechanism. Demonstration of its functionality with nsupdate and dig commands.
3. Creation of slave zone and configuration of zone-transfers from master server.
4. Deployment of source IP address based access control to server functions (queries, dynamic-update, zone-transfers, ...).
5. Deployiment of TSIG mechanism and its use to control access to server functions. Verification of TSIG functionality with nsupdate and dig commands.
6. Deployment of "view" mechanism on the server. Verification of its functionality.
7. Deployment of "view" mechanism on the server in conjuration with TSIG mechanism. Verification of its functionality.