NL NetlabsのツールによるDNSSEC遊び

藤原和典 2010/7/6

現在はBIND 9を使ってDNSSEC遊びをされている人が多いようですが、BIND 9を使わなくてもDNSSECの運用は可能です。

今回は、BIND 9のかわりにNL NetLabs製の3つのソフトを使用します。

署名ツール: ldns: DNS library and tools
- ldns-keygen: dnssec-keygen互換のDNSSEC鍵生成ツール
- ldns-key2ds: dnssec-dsfromkey相当の、DNSKEYからDSを生成するツール
- ldns-signzone: dnssec-signzone相当の署名ツール
  - exampleのため、dnssec-signzoneより制限は強い
  - マルチスレッド非対応
  - $TTL, $INCLUDE, $ORIGINなどを解釈しない
  - 標準TTLは3600固定のようにみえる
  - オプションは異なり、-N unixtimeなどの機能がない
権威DNSサーバ: NSD: Name Server Daemon
検証サーバ: Unbound: Validating, Recursive, and chacing DNS resolver
鍵管理、再署名管理ツールとしてdnsseczonetoolを使用

ここから、ISCのDLVを用いてNL NetLabsのツールを用いてDNSSEC遊びをした手順をまとめます。
ISC DLVの使いかたは、ここに詳細に書かれています。

NL NetLabsツールよるDNSSEC検証設定

ldns, nsd, unboundの導入
- configure --with-ssl=yes; make; make install
- configureオプションでOPENSSLを有効にすること
- ldnsのコンパイル時にexampleディレクトリでもconfigure --with-ssl; make; make install すること
- ldnsのコンパイル時にdrillディレクトリでもconfigure --with-ssl; make; make install すること
- インストール後にrebootかldconfig /usr/local/libが必要な場合があります。
unboundの設定
- /usr/local/etc/unbound/dlv.isc.org.key
  - DLVを信用する場合はdlv.isc.orgのトラストアンカーファイルを作成
  - http://ftp.isc.org/www/dlv/dlv.isc.org.key
- /usr/local/etc/unbound/root.key
  - IANA rootを信用する場合はrootのトラストアンカーファイルを作成
  - root-anchorsにある root-anchors.xmlをもとに、DS RRを作成
  - 2010年7月21日現在、次の内容となる。これをroot.keyというファイルに書く
  - . DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
- /usr/local/etc/unbound/unbound.confを作成します。最低限以下の数行でよいでしょう。
```
Server:
	interface: 127.0.0.1
	trust-anchor-file: "root.key"
	dlv-anochor-file: "dlv.isc.org.key"
	
```
- /usr/local/sbin/unboundを起動し、/etc/resolv.confに"nameserver 127.0.0.1"と書くとDNSSECの署名検証を利用することができます。
ゾーンファイルのDNSSEC対応
- NSDは何も指定しないと/etc/nsd/をみますのでそこを使用します。
- dnsseczonetoolを/etc/nsd/にコピーします。
- dnsseczonetool.confを作成します。
  - コマンドの読み変えとディレクトリの指定
```
keygen="/usr/local/bin/ldns-keygen"
signzone="/usr/local/bin/ldns-signzone"
dsfromkey="/usr/local/bin/ldns-key2ds -n"
MASTERDIR="/etc/nsd"
	  
```
  - 鍵パラメータ、署名パラメータの変更
    - KSK生成は-f KSKではなく-k
    - CentOSでは/dev/randomは遅過ぎるので/dev/urandom
    - LDNSは-AなしだとZSKによるDNSKEYの署名を生成しない
```
ZSK_PARAM="-a RSASHA256 -b 2048 -r /dev/urandom"
KSK_PARAM="-a RSASHA256 -b 2048 -k -r /dev/urandom"
SIGN_PARAM="-A"
	  
```
  - SERIAL自動生成: ldns-signzoneには-N unixtimeの機能がないのでゾーンファイルに_SERIAL_と書き、dnsseczonetoolで書き換えることとする
```
UNIXTIME=`date +%s`
ZONE_PREPROCESS="sed s/_SERIAL_/$UNIXTIME/"
	  
```
  - reloadの違い
```
RNDC_OPTION="OFF"
RELOADALL_COMMAND="/usr/local/sbin/nsdc rebuild && /usr/local/sbin/nsdc reload && echo reloaded"
          
```
- To be written
DLVでのDNSSEC検証の評価
- www.isc.orgや、www.dotgov.gov、dnslab.jpなどを検索する。
- dig +dnssec www.isc.org a などとし、flags: に "ad" が含まれていれば正しく検証されている。エラーなどが出たらなにか異常がおきている可能性がある。

dnsseczonetool

この文章についての連絡先は、藤原まで。