دز این مقاله به آموزش امن کردن ارتباط بین سرورهای master و slave در bind می پردازیم.
توجه داسته باشید که زمانی که bind را بصورت معمولی بصورت master/slave بالا می آورید تمام ارتباط بین این دو ماشین بصورت متن واضح در محطی اینترنت و شبکه انتقال پیدا میکند که این میتواند مشکلات امنیتی بوجود آورد به همین دلیل روشی برای رمزنگاری این ارتباط ارائه شده است که در این مقابه به آن می پردازیم.
برای این منظور وارد ماشین master میشویم و به آدرس /etc.bind میرویم و یک کلید برای رمزنگاری با استفاده از دستور زیر میسازیم.
dsnsec-keygen -a HMAC-MD5 -b 512 -n HOST -r /dev/urandom nowlearn.ir
بعد از اجرای دستور بالا در مسیر /etc/bind دو قایل جدید به نام هایی که در زیر آمده است را خواهید داشت.
Knowlearn.ir-XXX-XXXXX.key
Knowlearn.ir-XXX-XXXXX.private
توجه داشته باشید که نام فایل ها بسته به نام zone و تنظیمات شما متفاوت خواهد بود.
نکته: رمزنگاری densec در مقاله ما مبتنی بر pre-shared key می باشد.
بعد از اینکه فایل ها ساختیم نوبت به این میرسد که psk را از درون فایل .key پیدا کنیم برای این منظور فایل را cat میکنیم و عبارت جلوی key را کپی میکنیم.
cat Knowlearn.ir-XXX-XXXXX.key
سپس در مسیر /etc/bind یک فایل با نام named.conf.tsig میسازیم و عبارت هایی مانند زیر را در آن وارد میکنیم .
vi named.conf.tsig
key “nowlearn.ir” {
algorithm HMAC-MD5;
secret “<copied key from .key file>”;
};
بعد از انجام کار بالا نوبت به آن میرسد که فایلی را که ساخته ایم را به bind معرفی کنیم. برای این منظور فایل named.conf را باز میکنیم و عبارت زیر را در آن وارد میکنیم تا bind فایل named.conf.tsig را بشناسد.
include “/etc/bind/named.conf.tsig”;
بعد از این نوبت به آن میرسد که از کلید ساخته شده در تنظیمات bind و zone ها استفاده کنیم.
برای این منظور فایل named.conf.option و named.conf.local را باز کرده و عبارت allow-transfer را بصورت زیر در آنها تغییر میدهیم.
allow-transfer { key “nowlearn.ir”; };
در اینجا کار ما بر روی سرور master تمام شده و نوبت به سرور slave میرسد.
ابتدا در سرور slave هم ماننذ سور master فایل named.conf.tsig را میسازیم و دقیقا عباراتی که در master بکار برده بودیم را در آن قرار میدهیم و سپس آن را در قایل named.conf اینکلود میکنیم.
سپس فایل named.conf.option را باز می کنیم و به اول فایل عبارت زیر را قبل از سکشن options اضافه میکنیم .
server 192.168.20.135 {
keys { nowlearn.ir; };
};
توضیح اینکه در تنظیمات بالا به bind میگوییم که از کلید nowlearn.ir برای سرور ۱۹۲٫۱۶۸٫۲۰٫۱۳۵ استفاده کند.
بعد از اتجام کارهای بالا کار ما به پایان رسیده و سرویس ها را بر روی هر دو ماشین ریستارت میکنیم .
service bind9 restart
از این به بعد همه ارتباطات ما بین دو ماشین master و slave رمز شده خواهد بود.
سلام این مطبی که شما بیان کردین برای انتقال فایل zone در بین دو سرور به tsig معروف است و نه DNSSEC.
https://www.cira.ca/resources/anycast/guide-how/using-transaction-signatures-tsig-secure-dns-server-communication
ممنون از اصلاح مطلب شما