ABDOUL MOUMINI Harouna

NGUEMA EDOU Francky

Info 3

TP N° 2
Réseaux Linux
(DNSSEC)

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Présentation des extensions de sécurité DNS
(DNSSEC)
Les extensions de sécurité DNS (DNSSEC, Domain Name System Security
Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses
aux recherches de noms de domaine. Elles n'offrent aucune protection de la
confidentialité pour ces recherches, mais empêchent les pirates informatiques de
manipuler ou de contaminer les réponses aux requêtes DNS.
Le but de travail est de mettre en place un serveur DNS maitre et un serveur DNS
esclave qui pourra prendre le relais au cas où le serveur maitre rencontre un
problème.

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Configuration du maître DNSSEC
Activez DNSSEC en ajoutant les directives de configuration suivantes à l'intérieur
options{ }
nano /etc/bind/named.conf.options
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto

Créations d’une clé de signature de zone (ZSK) avec la commande suivante.

dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE ist.ga

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Créez une clé de signature de clé (KSK) avec la commande suivante.
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE ist.ga

Après avoir générer les clés, il va falloir l’insérer dans le fichier de résolution de
nom pour pouvoir signer la zone. Pour le faire, on va écrire un petit script qui va
insérer ces clés.

Après avoir écrit ce script avec la commande « ./key.sh », Voici une sortie du
fichier de résolution directe ‘db.ist.ga’ avec la commande cat /etc/bind/db.ist.ga

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

A ce niveau, nous pouvons signez la zone avec la commande suivante depuis le
dossier où la clé a été généré. C’est-à-dire ‘/var/cache/bind/keys’:
dnssec-signzone -e20170320030000 -t -g -k Kist.ga.+008+58809.key -o ist.ga
/etc/bind/db.ist.ga Kist.ga.+008+24866.key
Cette commande va nous générer un fichier signé qui est nommé db.ist.ga.signes
comme on le voir dans la capture suivante :

Voici une sortie du fichier signé avec la commande ‘cat db.ist.ga.signed | less’

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Maintenant, nous allons modifier le fichier de zone et mettre le fichier de résolution
directe signé.
Voici ce que ça nous donne avec un la commande ‘cat named.conf.local’

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

A ce moment, on reload bind9 avec la commande ‘# systemctl reload bind9’
Maintenant nous allons vérifier si DNSSEC est prend notre domaine en compte
avec la commande ‘dig DNSKEY ist.ga. @localhost +multiline | less’ pour afficher
par page.

Maintenant que le serveur master est configuré, nous allons passer à la

configuration du serveur slave.

Configuration du slave DNSSEC

Pour configurer le serveur slave, nous allons d’abord éditer fichier de zone
‘named.conf.local’.
Voici la sorti du fichier après la modification

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Puis nous allons ajouter l’ip serveur master dans le fichier ‘named.conf.option’
dans le forwaders.

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)

Institut Supérieur de Technologies, Semestre 6, TP2 portant sur le dnssec (2019-2020)