Sicherer Zonen Transfer mit BIND9 (TSIG Zone Transfer)

Vorwort

Diese Dokumentation beschreibt den Installationsvorgang von sicherem Zonen Transfer zwischen zwei Bind-DNS-Servern mit TSIG.

Bitte vergewissern Sie sich, dass Ihr System über die nötigen Voraussetzungen verfügt, wie in der Infobox beschrieben. Weiterhin sind Grundkenntnisse im Umgang mit Linux erforderlich, da die Vorgehensweise, wie sie hier beschrieben ist, in manchen Teilen abweichen kann. Kein System ist wie das Andere. Die Dokumentation wurde sorgfältig von mir geprüft. Dennoch kann ich keinerlei Haftung für Schäden an Ihrem System oder eine Gewährleistung übernehmen. Bitte verwenden Sie diese Dokumentation auf eigene Gefahr.

Sicherer Zonen Transfer mit BIND9 (TSIG Zone Transfer)

Stand: Stand 01/2021

Verwendete Software:

• Ubuntu 20.04 LTS
• Bind9 9.16.1

Voraussetzungen:

• funktionierender Bind9 DNS-Server, z.B.:
  • BIND9 als DNS-Server mit Namedmanager als Webinterface

Weitere, empfohlene Dokumentationen:

Was muss ich in der Konfiguration anpassen?

Einige Parameter müssen auf Ihre Umgebung angepasst werden. Im Verlauf dieser Dokumentation müssen Sie nur die Parameter anpassen, die in der nachfolgenden Tabelle aufgelistet sind. Sie können also ganz einfach durch die Funktion "Suchen und Ersetzen" (STRG + H), die Konfigurationsdateien auf Ihre Umgebung anpassen. Das Gleiche gilt für auszuführende Kommandos.

Folgende Parameter werden verwendet:

Konfigurations-Dateien werden immer nach dem gleichen Muster erstellt. Unter jeder Datei, die eine Anpassung erfordert, finden Sie die nötigen Hinweise.
Dateien, die zwar Parameter aber keine eigentliche Konfiguration enthalten, werden nach dem vorgegebenen Syntax erstellt.

Beispiel:
Im folgenden Beispiel ist die Datei /home/beispiel.conf zu erstellen und der Parameter domain anzupassen.

Erstellen Sie eine neue Datei /home/beispiel.conf mit folgendem Inhalt:

# nano /home/beispiel.conf

url		= www.twlnet.com
content	= Dokumentationen

domain	= example.com
owner	= root

# beispiel.conf
[...]
domain	= example.com
[...]

Im folgenden Beispiel ist die Datei /home/beispiel.map mit einer Liste Ihrer E-Mail-Adressen zu erstellen.

Erstellen Sie eine neue Datei /home/beispiel.map nach folgendem Syntax:

# nano /home/beispiel.map

benutzer1@example.com
benutzer2@example.com
benutzer3@example.com

Server vorbereiten

Root-Rechte einräumen

Während der gesamten Dokumentation werden Root-Rechte benötigt. Um auf das Voranstellen von sudo zu verzichten, verschaffen Sie sich für die gesamte Sitzung erhöhte Rechte mit:

# sudo -i

Update durchführen

Bringen Sie den Server auf den aktuellen Patchstand:

# apt update && apt upgrade

Software herunterladen und installieren

Laden Sie bind9-utils aus dem offiziellen Ubuntu-Repository herunter:

# apt install bind9-utils

Bind konfigurieren

TSIG-Key generieren

Verwenden Sie tsig-keygen um den TSIG-Key zu generieren:

# tsig-keygen -a hmac-sha512 tsig-key > /etc/bind/tsig.key

Vergeben Sie die entsprechenden Zugriffsrechte:

# chmod 640 /etc/bind/tsig.key
# chown root:bind /etc/bind/tsig.key

Kopieren Sie den TSIG-Key auf den Slave-DNS-Server:

# scp -r /etc/bind/tsig.key root@192.0.2.102:/etc/bind

Master-DNS-Server konfigurieren

Fügen Sie der Datei /etc/bind/named.conf.local folgendes hinzu:

# nano /etc/bind/named.conf.local

[...]
include "/etc/bind/tsig.key";
[...]
zone "zone.example.com" {
        [...]
        type master;
        file "zone.example.com.zone" ;
        allow-transfer { key "tsig-key"; };
        also-notify { 192.0.2.102; };     
        notify yes;
        [...]
};
[...]

Slave-DNS-Server konfigurieren

Fügen Sie der Datei /etc/bind/named.conf.local folgendes hinzu:

# nano /etc/bind/named.conf.local

[...]
include "/etc/bind/tsig.key";

server 192.0.2.101 {
        keys { tsig-key; }; 
}; 
[...]
zone "zone.example.com"  {
        [...]
        type slave ;
        file "zone.example.com.zone" ;
        allow-transfer { none; };
	masters { 192.168.50.100; };
        [...]
};
[...]