DNS & BIND – Betrieb und Sicherheit

Das DNS Protokoll wie wir es heute im Internet oder in internen Netzwerken benutzen hat ein Sicherheitsproblem: DNS Daten können auf dem Transportwege gefälscht, und falsche DNS Daten können in in DNS Server eingeschleust werden. Da so gut wie alle Internet-Protokolle DNS benutzen, kann diese Lücke im DNS benutzt werden um bekannte Sicherheitssysteme (wie z.B. TLS x509 Zertifikate oder Same-Origin-Policy in JavaScript) auszuheben oder zu umgehen.

Dieser Kurs betrachtet wichtige Technologien und Verfahren zum sicheren Betrieb eines BIND 9 DNS Servers unter Linux/Unix.

Trainer und Dozenten

Der Trainer Carsten Strotmann arbeitet seit über 20 Jahren mit Linux/Unix und DNS in TCP/IP Netzen. Seit 2003 betreut er das Trainingsprogramm bei den DNS Spezialisten von Men & Mice und gibt weltweit Schulungen zu den Themen DNS, DNSSEC, DHCP und IPv6. Er arbeitet eng mit den Herstellern von DNS Software zusammen (ISC BIND, NLNetLabs NSD/unbound und Microsoft DNS) und ist aktiv in den RIPE und IETF DNS Arbeitsgruppen.

Der Trainer Jan-Piet Mens ist seit 1988 im Bereich Unix dann Linux als Berater/Trainer unterwegs. Auch er betreut u.a. das Trainingsprogramm bei den DNS Spezialisten von Men & Mice und gibt weltweit Schulungen.
Im Linuxhotel ist er für die Ansible config management Trainings verantwortlich.

Voraussetzungen

Die Schulung wird in deutscher Sprache gehalten, die Kursunterlagen und viele Internet-Quellen sind in englischer Sprache verfügbar.

Vorausgesetzt werden Grundlagen der Unix/Linux-Kommandozeile (Shell) und die Benutzung eines Unix/Linux Editors auf der Textkonsole (vi, nano, emacs, ...) sowie gute Kenntnisse der DNS Namensauflösung (Arbeitsweise von "resolving" DNS Servern und die Delegation des DNS Namensraumes (diese DNS Kenntnisse werden im Kurs DNS & BIND vermittelt).

Inhalt

  • Neues Fachvokabular für DNS & BIND
  • Einen autoritativen Server einrichten und betreiben
  • Eine kurze Einführung in DNSSEC
  • DNSSEC Validierung und DNSSEC Zonen signieren
  • Minimal ANY
  • Empty Zones
  • Einen DNSSEC validierenden Resolver einrichten und betreiben
  • EDNS
  • Das Abfragewerkzeug 'dig' im Detail
  • Bewährte Praxis für den Betrieb eines DNS Resolver
  • Informationen über den DNS Dienst abfragen (Statistiken, "query logging", dnstap, CHAOS Klasse)
  • DNS Cookies
  • Kryptografie und DNS
  • DNSSEC 'inline'-signing
  • Transaction Signatures (TSIG)
  • Dynamische Updates (plus NOTIFY & IXFR)
  • Response rate limiting mit BIND 9
  • Zonen per 'rndc' hinzufügen und löschen
  • Firewalls und DNS
  • Response Policy Zones (RPZ)
  • Automatische DNS Provisionierung mit Catalog-Zones
  • BIND 9 views