| SUSE Documentación de LINUX Capítulo 40. DNS (Domain Name System) / 40.7. Transacciones seguras | ||||
|---|---|---|---|---|
 | 40.6. Actualización dinámica de los datos de zonas | 40.8. Seguridad DNS |  | |
| SUSE Documentación de LINUX Capítulo 40. DNS (Domain Name System) / 40.7. Transacciones seguras | ||||
|---|---|---|---|---|
| 40.6. Actualización dinámica de los datos de zonas | 40.8. Seguridad DNS | | |
Las transacciones seguras pueden realizarse con ayuda de las “Transaction SIGnatures” (TSIG). Para ello se utilizan las claves de transacción (transaction keys) y las firmas de transacción (transaction signatures), cuya creación y uso se describen en las líneas siguientes.
Las transacciones seguras son necesarias para la comunicación entre servidores y para actualizar los datos de zonas dinámicamente. En este contexto, un control de los permisos basado en claves ofrece mucha más protección que un control basado en direcciones IP.
Para crear una clave de transacción puede utilizar el siguiente comando
(obtendrá más información con man dnssec-keygen):
dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2
Al ejecutar este comando, se crean por ejemplo los siguientes archivos:
Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key
La clave está incluida en ambos archivos (ej.
ejIkuCyyGJwwuN3xAteKgg==). Para lograr una comunicación
segura entre host1 y host2,
Khost1-host2.+157+34265.key se debe transmitir de forma
segura (por ejemplo con scp) al ordenador remoto y allí
introducirla en /etc/named.conf.
key host1-host2. {
algorithm hmac-md5;
secret ";ejIkuCyyGJwwuN3xAteKgg==;
};![[Warning]](admon/warning.png) | Permisos de acceso a /etc/named.conf |
|---|---|
Asegúrese de que los permisos de acceso a
| |
Para que en el servidor host1 se
utilice la clave para el host2
con la dirección de ejemplo 192.168.2.3, se debe realizar la siguiente
entrada en el /etc/named.conf del servidor:
server 192.168.2.3 {
keys { host1-host2. ;};
};
En los archivos de configuración de host2 se deben también introducir las
entradas correspondientes.
Además de las ACLs (listas de control de acceso, no confundirlas con las ACLs del sistema de archivos) basadas en direcciones IP y zonas de direcciones, también es necesario añadir claves TSIG para poder llevar a cabo transacciones seguras. Un posible ejemplo sería el siguiente:
allow-update { key host1-host2. ;};
Puede obtener más información en el manual de administración de BIND en el
apartado update-policy.
