Date: Tue, 5 Jul 2011 21:20:14 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 195778 for review Message-ID: <201107052120.p65LKE2s096467@skunkworks.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://p4web.freebsd.org/@@195778?ac=10 Change 195778 by rene@rene_acer on 2011/07/05 21:20:14 Checkpoint for network-servers 1.130 -> 1.134 update Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#42 (text+ko) ==== @@ -4185,6 +4185,112 @@ </sect2> <sect2> + <title><acronym + role="Domain Name Security Extensions">DNSSEC</acronym></title> + + <indexterm> + <primary>BIND</primary> + + <secondary>DNS veiligheidsuitbreidingen</secondary> + </indexterm> + + <para>Domain Name Security System Extentions, ofwel <acronym + role="Domain Name Security Extensions">DNSSEC</acronym>, is een + verzameling van specificaties om resolvende naamservers te beschermen + tegen valse <acronym>DNS</acronym>-gegevens, zoals vervalste + <acronym>DNS</acronym>-records. Door digitale handtekeningen te + gebruiken kan een resolver de integriteit van een record controleren. + Merk op dat <acronym role="Domain Name Security Extensions">DNSSEC</acronym> + alleen integriteit biedt via het digitaal ondertekenen van de Resource + Record (<acronym role="Resouce Record">RR</acronym>s). Het biedt noch + betrouwbaarheid noch bescherming tegen onjuiste aannames van + eindgebruikers. Dit betekent dat het mensen niet kan beschermen tegen + het bezoeken van <hostid role="domainname">voorbeeld.net</hostid> in + plaats van <hostid role="domainname">voorbeeld.com</hostid>. Het enige + wat <acronym>DNSSEC</acronym> doet is authenticeren dat de gegevens + niet tijdens het transport zijn gecompromitteerd. De beveiliging van + <acronym>DNSSEC</acronym> is een belangrijke stap in het beveiligen van + het internet in het algemeen. De relevante <acronym>RFC</acronym>s zijn + een goed beginpunt voor meer gedetailleerde gegevens over hoe + <acronym>DNSSEC</acronym> werkt. Raadpleeg de lijst in + <xref linkend="dns-read">.</para> + + <para>De volgende secties laten zien hoe <acronym>DNSSEC</acronym> voor een + autoratieve <acronym>DNS</acronym>-server en een recursieve (of caching) + <acronym>DNS</acronym>-server die <acronym>BIND</acronym> 9 draait kan + worden bewerkstelligd. Hoewel alle versies van <acronym>BIND</acronym> + 9 <acronym>DNSSEC</acronym> ondersteunen, is tenminste versie 9.6.2 + nodig om gebruik te kunnen maken van de ondertekende rootzones tijdens + het valideren van <acronym>DNS</acronym>-verzoeken. Dit komt doordat + eerdere versies de benodigde algoritmes om validatie met de sleutel + voor de rootzone te uit te veoren niet hebben. Het wordt sterk + aangeraden om de nieuwste versie van <acronym>BIND</acronym> 9.7 te + gebruiken om gebruik te kunnen maken van automatische sleutel-updates + voor de rootsleutel en van andere mogelijkheden om zones ondertekend en + sleutel up-to-date te houden. Wanneer configuraties tussen 9.6.2 en 9.7 + en later verschillen, zullen deze worden toegelicht.</para> + + <sect3> + <title>Configuratie van een recursieve + <acronym>DNS</acronym>-server</title> + + <para>Het aanzetten van <acronym>DNSSEC</acronym>-validatie van + verzoeken die door een recursieve <acronym>DNS</acronym>-server worden + uitgevoerd heeft enkele aanpassingen aan + <filename>named.conf</filename> nodig. Voordat deze wijzigingen + worden worden gemaakt dient de rootzone-sleutel, of vertrouwensanker, + worden opgehaald. Momenteel is de rootzone-sleutel niet beschikbaar + in een bestandsformaat dat <acronym>BIND</acronym> begrijpt, dus moet + het handmatig in het juiste formaat omgezet worden. De sleutel zelf + kan verkregen worden door de rootzone ervoor met + <application>dig</application> te ondervragen. Door</para> + + <screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . > root.dnskey</userinput></screen> + + <para>te draaien, wordt de sleutel in <filename>root.dnskey</filename> + opgeslagen. De inhoud dient er ongeveer als volgt uit te zien:</para> + + <programlisting>. 93910 IN DNSKEY 257 3 8 ( + AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ + bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh + /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA + JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp + oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 + LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO + Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc + LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= + ) ; key id = 19036 +. 93910 IN DNSKEY 256 3 8 ( + AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf + UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE + g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V + EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt + ) ; key id = 34525</programlisting> + + <para>Schrik niet als de verkregen sleutels anders zijn dan in dit + voorbeeld. Ze kunnen zijn veranderd nadat deze instructies voor het + laatst waren bijgewerkt. De uitvoer bevat in feite twee sleutels. De + eerste sleutel, met de waarde 257 na het DNSKEY-recordtype, is degene + die nodig is. Deze waarde geeft aan dat dit een Secure Entry Point ( + <acronym role="Secure Entry Point">SEP</acronym>) is, beter bekend als + een Key Signing Key (<acronym role="Key Signing Key">KSK</acronym>). + De tweede sleutel, met de waarde 256, is een deelsleutel, beter bekend + als een Zone Signing Key (<acronym + role="Zone Signing Key">ZSK</acronym>). Meer over de verschillende + soorten sleutels komt aan bod in <xref + linkend="dns-dnssec-auth">.</para> +<!-- rene hier--> + </sect3> + +<!--rene keep build alive--> + <sect3 id="dns-dnssec-auth"> + <title>Configuratie van een autoratieve + <acronym>DNS</acronym>-server</title> + <para/> + </sect3> + </sect2> + + <sect2> <title>Beveiliging</title> <para>Hoewel BIND de meest gebruikte implementatie van DNS is, is
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201107052120.p65LKE2s096467>