înregistrare Logare
Puncte:0
avatar Server

Migrare DNSSEC cu migrarea numai a KSK-urilor

drapel ma
Zerqent

Versiune scurta: Dacă un sone semnat de DNSSec înlocuiește brusc ambele ZSK (și toate înregistrările legate de vechiul ZSK) și, în același timp, păstrează KSK-urile (la care se face referire de către serverul din amonte). Va cauza vreo problemă? Și va cauza probleme după expirarea TTL-ului zonei/înregistrărilor?

Versiune lungă: Așa că înlocuiesc un server DNS autorizat 2012R2 (suportat de fișiere) care găzduiește o mână de zone DNSSEC.

Din câte am adunat, nu este posibil să migrați ZSK-urile pentru o zonă, dar este posibil să migrați KSK-urile. (Din punct de vedere tehnic, pot migra pe ambele, dar pot importa numai KSK-urile din zonă dintr-un motiv oarecare). De asemenea, nu este posibil să adăugați înregistrări „personalizate” legate de DNSSEC atunci când Windows Server semnalează zona ca fiind semnată.Serverul DNS din amonte (TLD la nivel de țară) conține doar referințe la KSK-uri.

Dacă înțeleg acest lucru corect, dacă copiez zona, generează noi ZSK-uri și semnează-l. Apoi puneți-l online (va avea același IP ca serverul anterior). Acest lucru ar trebui să ducă doar la probleme cu verificarea semnăturii în timpul TTL al zonei/înregistrărilor în cauză (cred), și numai dacă cineva a stocat în cache doar înregistrarea și nu înregistrarea semnăturii? (Sunt, de asemenea, conștient de faptul că unele servere DNS ar putea stoca în cache mai mult decât zona TTL).

58
0 + 0
Puncte:0
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

Dacă un sone semnat de DNSSec înlocuiește brusc ambele ZSK (și toate înregistrările legate de vechiul ZSK) și, în același timp, păstrează KSK-urile (la care se face referire de către serverul din amonte). Va cauza vreo problemă?

Da. Se pare că uitați că înregistrările DNS au TTL. Deci, soluțiile recursive vor/pot avea vechile date cheie în memoria cache (the DNSKEY înregistrările care listează vechile ZSK-uri) și, prin urmare, așteptați, de exemplu, să găsiți semnături cu el. „Deodată” nu amestecă niciodată voința cu DNS. Nicio modificare nu ar trebui făcută fără perioade de grație.

Din câte am adunat, nu este posibil să migrați ZSK-urile pentru o zonă, dar este posibil să migrați KSK-urile.

Nu îmi este clar ce vrei să spui prin „migrați” acolo. ZSK-urile, prin definiție, sunt rotite adesea, ca unul în fiecare lună sau la fiecare 2 luni, dar cu suprapunere.

Indiferent de ce, aveți întotdeauna această metodă urâtă de a schimba lucrurile, care funcționează, dar deschide o fereastră fără securitate:

  • eliminați DS la părinte
  • așteptați „destul” timp (cel puțin DS TTL și altele)
  • acum zona dvs. nu mai este securizată DNSSEC, puteți modifica conținutul acesteia după bunul plac, inclusiv despre chei
  • odată ce ați ajuns la noua configurație dorită și ați testat că DNSSEC este ok prin simularea unui anumit DS la părinte, atunci poți pune asta DS înregistrarea înapoi la părinte.

Desigur, dacă aveți vreo monitorizare în zona dvs. care se așteaptă la DNSSEC, va țipa în timpul procedurii (sau cel puțin un test bun și pentru monitorizare).

0 + 0
drapel ma
Zerqent
„Migrare” - Mutați cheia pe alt server și demisionați din zonă. Problema este că Windows nu pare să aibă o opțiune prin care să pot prepublica sau să semnez dublu zona cu o cheie de la fiecare server... Preia controlul DNSSEC și apoi nu te lasă să faci nimic.
0
Răspunde
drapel ma
Zerqent
TTL pentru zonele cred că sunt de până la 15 minute. Știu că este posibil ca serverele publice să nu respecte un TTL sub o oră. O oră de nefuncționare pentru un serviciu este acceptabilă (mai ales atunci când doar publicul activat DNSSEC este afectat și o pot face pe timp de noapte). Dacă nu există alte marcaje temporale/timeout-uri pe care trebuie să le respect. Eliminarea înregistrărilor DS la părinte este soluția alternativă la problemă, dar încerc să găsesc o soluție mai bună.
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
@Zerqent De ce nu poți folosi aceleași chei pe noul server?
0
Răspunde
drapel ma
Zerqent
Nu găsesc o modalitate prin care să se poată face pe Windows Server. Puteți importa o cheie pe un alt server (este stocată în certificat în Windows).Apoi puteți apela Add-DnsServerSigningKey pentru a importa KSK. Dacă încercați să o faceți cu un ZSK, va ignora în mod evident cheia pe care o specificați și va genera doar una nouă (de asemenea, dacă vă uitați la parametrii, de fapt spune că parametrul este doar pentru KSK-uri)
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Pentru o migrare ușoară, ar trebui să faceți o trecere corectă, așa că, practic, creați noua cheie pe noul server, asigurați-vă că este adăugată pe serverul vechi, în înregistrarea DNSKEY, ca KSK actual să semneze noul ZSK. Dacă puteți muta singuri semnăturile, găsiți o modalitate de a face ca noul server să calculeze semnăturile și să le includă în vechiul server. După ceva timp (consultați https://datatracker.ietf.org/doc/html/rfc7583#section-3.2 pentru ajutor) puteți elimina vechiul ZSK ca cheie de semnare și apoi mutați zona pe noul server complet, deoarece nu utilizați vechiul ZSK. Sau deveniți necinstiți (fără DNSSEC eliminând DS în părinte).
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
(Îmi pare rău, știu puțin, dacă nu nimic, despre lucrurile specifice Windows, așa că sper că cineva poate adăuga un răspuns care să vă ajute mai mult despre acest sistem de operare specific; tocmai dădeam câteva sfaturi generale despre întreținerea DNSSEC).
0
Răspunde
drapel ma
Zerqent
Noroc Patrick. Am fost până la genunchi în mai multe RFC :). totuși, odată ce semnez cu Windows, nu pot adăuga de fapt o înregistrare DSKEY, așa că practic rămân fie în acest scenariu (în situație de urgență a tuturor cheilor Z și aștept TTL - sau mai mult?), fie dezactivând dnssec, migrând apoi restaurare.
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Imaginați-vă că nu faceți o actualizare/întreținere planificată „de rutină”, dar din anumite motive infrastructura dvs. actuală eșua într-un fel și a trebuit să mutați gestionarea DNS/semnăturilor+administrarea cheilor pe un server nou „imediat” pentru a restabili serviciul. Cum ai gestiona asta? Poate suna la distanță/inutil, dar totul depinde de cât de critic este acest serviciu specific pentru alte lucruri (vezi întreruperea recentă la FB: zona lor fiind ruptă bloca și diverse instrumente interne) și gestionarea schimbării acum cu calm te poate ajuta, de asemenea, să te ajute. elaborarea unui plan pentru cazurile de urgență. Sau invers.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.