Windows 2012/2016 DNSSEC

DNS Workshop

Created: 2019-08-29 Thu 10:11

Agenda

  • DNSSEC-Validierung in Windows 2012/2016
  • DNSSEC Zonen absichern mit Windows 2012/2016

DNSSEC Support in Windows Server Systemen

  • Windows Server 2008(R2) unterstützt nur ein unzureichendes Subset des DNSSEC Standards (nur RSASHA1, kein NSEC3)
  • die DNS-Root-Zone im Internet ist mit RSASHA256, und viele Top-Level-Domains sind mit NSEC3 abgesichert
  • Windows 2012/2016 unterstützt alle notwendigen DNSSEC Funktionen

Windows 2012 DNSSEC Validierung

windows2012-dnssec-val01.png

  • DNSSEC-Validierung kann in den globalen Einstellungen des Windows DNS Servers eingestellt werden (Advanced - enable DNSSEC validation for remote responses)

Windows 2012 DNSSEC Validierung

  • ein DNSSEC Trust-Anchor muss im Windows 2012 DNS Server konfiguriert werden (meist der Trust-Anchor der Root-Zone des Internet):
    • aus einer Datei
    • manuell über die GUI
    • automatisch über einen Kommandozeilen-Befehl

Windows 2012 DNSSEC Validierung

  • der Windows 2012 Server ist sehr strikt mit dem Format der Trust-Anchor Daten:
    • die Daten müssen im gleichen Format vorliegen, welche von Windows DNS Server in den 'keyset' Dateien nach dem Signieren einer Zone abgelegt werden
    • dies ist das gleiche Format wie es das Kommando 'dig' aus dem Paket des BIND 9 DNS-Servers in der Version 9.6 oder 9.7 erzeugt (aber nicht Versionen 9.9 oder neuer!)

Windows 2012 DNSSEC Validierung

  • Format des Trust-Anchors für die Internet Root-Zone (Stand 03.2018):
    . 172800 IN DNSKEY 257 3 8 (
    AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
    bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
    /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
    JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
    oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
    LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
    Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
    LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
    ) ; key id = 19036

Windows DNSSEC: Trust-Anchor aus einer Datei importieren

windows2012-dnssec-val02.png

  • in der Windows DNS Server Konsole, wähle den Ordern "Trust-Points" und dort 'Import DNSKEY':

Windows DNSSEC: Trust-Anchor aus einer Datei importieren

windows2012-dnssec-val03.png

  • die Datei mit dem KSK der Root-Zone auswählen

Windows DNSSEC: Trust-Anchor manuell konfigurieren

windows2012-dnssec-val04.png

  • mit der Rechten Maus-Taste den Ordner 'Trust-Points' auswählen, dann 'Add DNSKEY' wählen

Windows DNSSEC: Trust-Anchor manuell konfigurieren

  • einen Punkt '.' als Namen der Zone (für die Root-Zone) eintragen, dann den KSK der Root-Zone (in Base64 Kodierung) in das Feld "public key" eintragen. - der Schlüssel muss ohne Leerzeichen und Zeilenumbrüche eingefügt werden
    AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrA
    cQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/
    Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ
    8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP
    1dfwhYB4N7knNnulqQxA+Uk1ihz0=

Windows DNSSEC: Trust-Anchor manuell konfigurieren

windows2012-dnssec-val05.png

Windows DNSSEC: Trust-Anchor manuell konfigurieren

windows2012-dnssec-val06.png

Windows DNSSEC: Validierung testen

windows2012-dnssec-val07.png

  • die Windows 2012 PowerShell beinhaltet ein Kommando, um DNS-Namen, inkl. DNSSEC Informationen, abzufragen
  • Unglücklicherweise liefert dieses Kommando nicht den Status des AD-Flags (Authentic Data) zurück
  • das AD-Flag zeigt an, ob die Daten per DNSSEC validiert wurden

Windows DNSSEC: Validierung testen

windows2012-dnssec-val08.png

  • das Kommando dig aus dem Paket des BIND 9 DNS-Servers zeigt unter Windows das AD-Flag an

Windows DNSSEC: Validierung von der Kommandozeile anschalten

  • die DNSSEC Validierung kann mit dem folgenden Befehl direkt angeschaltet werden:
    dnscmd /RetrieveRootTrustAnchors
  • dieser Befehl lädt den Delegation-Signer für den KSK der Root-Zone per 'https' von der IANA Webseite (https://data.iana.org/root-anchors/root-anchors.xml )
  • danach lädt der DNS Server den KSK über DNS aus der Root-Zone und validiert diesen mittels des Hash im DS-Record

Windows DNSSEC: Validierung von der Kommandozeile anschalten

windows2012-dnssec-val09.png

Fragen?