8
DNSSEC Validation für Windows Server aktivieren
Hallo zusammen,
es gab ja gerade ein paar schöne Artikel auf Heise zum Thema DNSSEC. Die Jungs dort hätten vielleicht mal vorher miteinander reden sollen...
https://www.heise.de/newsticker/meldung/Kommentar-Vom-DNS-aktuellen-Hype ...
https://www.heise.de/security/meldung/Kommentar-zu-DNS-over-HTTPS-Die-Gr ...
jedenfalls lesenswert!
Fazit: Die DNSSEC Validierung sollte auf jeden Fall genutzt werden. (Zum klarstellen - ich meine hier DNSSEC zwischen dem DNS-Server im LAN und dem externen DNS-Server, an den DNS-Anfragen weitergeleitet werden. Ich meine nicht die Signierung eigener Zonen)
Zu bind9 gibt es schöne Anleitungen, z.B. https://ftp.isc.org/isc/dnssec-guide/dnssec-guide.pdf
Zu Windows Server (bei mir 2012 R2) habe ich nicht gleich was gefunden, dann aber doch:
https://www.heise.de/ct/hotline/dnscmd-holt-keinen-Vertrauensanker-40948 ...
https://blog.cdemi.io/enabling-windows-dns-server-to-validate-dnssec/
Zuerst muss die Eigenschaften des DNS-Server überprüfen
Dann kann man das Schlüsselherunterladen manuell anstoßen:
Ganz wichtig ist dabei das /f ! Ohne das erscheint eine Sicherheitsabfrage, die man nur falsch beantworten kann.
Alternativ gibt man den TrustAnchor per Hand ein:
Wichtig: Momentan werden bei iana https://data.iana.org/root-anchors/root-anchors.xml 2 TrustAnchors angezeigt. Beim manuellen Hinzufügen muss man beide nacheinander angeben (also das ganze 2 mal"):
Testen kann man das dann hier:
https://dnssec.vs.uni-due.de/
http://www.dnssec-or-not.com/ (gefällt mit besonders gut
)
Grüße
lcer
PS: Das ist keine Anleitung - Da es keine Kategorie "Kurzanleitung" gibt - ist es ein Tipp
es gab ja gerade ein paar schöne Artikel auf Heise zum Thema DNSSEC. Die Jungs dort hätten vielleicht mal vorher miteinander reden sollen...
https://www.heise.de/newsticker/meldung/Kommentar-Vom-DNS-aktuellen-Hype ...
https://www.heise.de/security/meldung/Kommentar-zu-DNS-over-HTTPS-Die-Gr ...
jedenfalls lesenswert!
Fazit: Die DNSSEC Validierung sollte auf jeden Fall genutzt werden. (Zum klarstellen - ich meine hier DNSSEC zwischen dem DNS-Server im LAN und dem externen DNS-Server, an den DNS-Anfragen weitergeleitet werden. Ich meine nicht die Signierung eigener Zonen)
Zu bind9 gibt es schöne Anleitungen, z.B. https://ftp.isc.org/isc/dnssec-guide/dnssec-guide.pdf
Zu Windows Server (bei mir 2012 R2) habe ich nicht gleich was gefunden, dann aber doch:
https://www.heise.de/ct/hotline/dnscmd-holt-keinen-Vertrauensanker-40948 ...
https://blog.cdemi.io/enabling-windows-dns-server-to-validate-dnssec/
Zuerst muss die Eigenschaften des DNS-Server überprüfen
- dnsmgmt.msc
- Server auswählen
- Rechtsklick auf Server
- Eigenschaften -> Reiter "Erweitert"
- Häkchen bei DNSSEC-Überprüfung für Remote antworten aktivieren!
Dann kann man das Schlüsselherunterladen manuell anstoßen:
dnscmd.exe localhost /RetrieveRootTrustAnchors /fGanz wichtig ist dabei das /f ! Ohne das erscheint eine Sicherheitsabfrage, die man nur falsch beantworten kann.
Alternativ gibt man den TrustAnchor per Hand ein:
- dnsmgmt.msc
- Server auswählen
- Rechtsklick auf Vertrauenspunkte
- Hinzufügen -> DS
- Name: . (nur ein Punkt!)
- Schlüsselkennzeichen: (siehe unten)
- Algoritmus: RSA/SHA256
- Digesttyp: SHA-256
- Digest: (siehe unten)
Wichtig: Momentan werden bei iana https://data.iana.org/root-anchors/root-anchors.xml 2 TrustAnchors angezeigt. Beim manuellen Hinzufügen muss man beide nacheinander angeben (also das ganze 2 mal"):
<?xml version="1.0" encoding="UTF-8"?>
<TrustAnchor id="0AF79DEA-A7CD-43DC-9EDD-AD241CA63AE2" source="http://data.iana.org/root-anchors/root-anchors.xml">
<Zone>.</Zone>
<KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00">
<KeyTag>19036</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest>
</KeyDigest>
<KeyDigest id="Klajeyz" validFrom="2017-02-02T00:00:00+00:00">
<KeyTag>20326</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D</Digest>
</KeyDigest>
</TrustAnchor>Testen kann man das dann hier:
https://dnssec.vs.uni-due.de/
http://www.dnssec-or-not.com/ (gefällt mit besonders gut
)Grüße
lcer
PS: Das ist keine Anleitung - Da es keine Kategorie "Kurzanleitung" gibt - ist es ein Tipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390982
Url: https://administrator.de/contentid/390982
Printed on: May 3, 2024 at 22:05 o'clock
8 Comments
Latest comment
Moin Icer,
vielen Dank für den Beitrag.
Die beiden (Prüf)Links zeigen auch bereits vor der Aktivierung einen positives Resultat an. Die mir einzigst bekannte Variante die Validierung zu prüfen ist über dig.
Gruß,
Dani
vielen Dank für den Beitrag.
Die beiden (Prüf)Links zeigen auch bereits vor der Aktivierung einen positives Resultat an. Die mir einzigst bekannte Variante die Validierung zu prüfen ist über dig.
Gruß,
Dani
Die Prüf-Links testen nur, ob eine absichtlich mit kaputter Signatur versehene Subdomain aufgelöst wird oder nicht.
Wird diese nicht aufgelöst, geht der Test davon aus dass DNSSEC eingesetzt wird - wo das aber umgesetzt wird, kann man daran nicht erkennen.
Ob das dein Client selbst macht, der Resolver im LAN oder ein eventuell vorgeschalteter Resolver kann so nicht unterschieden werden.
Wird diese nicht aufgelöst, geht der Test davon aus dass DNSSEC eingesetzt wird - wo das aber umgesetzt wird, kann man daran nicht erkennen.
Ob das dein Client selbst macht, der Resolver im LAN oder ein eventuell vorgeschalteter Resolver kann so nicht unterschieden werden.
Moin @LordGurke,
wenn ich solch eine Technik auf meinen DNS-Server aktiviere, will ich doch wissen, ob beim Client die Daten unverfälscht an kommen und nicht was mir eine Webseite sagt?! Vllt. stehe ich auch aufm Schlauch...
Gruß,
Dani
wenn ich solch eine Technik auf meinen DNS-Server aktiviere, will ich doch wissen, ob beim Client die Daten unverfälscht an kommen und nicht was mir eine Webseite sagt?! Vllt. stehe ich auch aufm Schlauch...
Gruß,
Dani
Mein Hinweis war auch nicht an dich gerichtet 
Guten Abend,
war für mich nicht direkt ersichtlich, da du auf meinen Kommentar geantwortet hast.
Gruß,
Dani
war für mich nicht direkt ersichtlich, da du auf meinen Kommentar geantwortet hast.
Gruß,
Dani
Hallo,
kleines Update zu Windows Server 2019
Die RootTrustAnchors können mit folgendem Powershellbefehl geladen werden:
Die Verwendung von dnscmd schlug bei mit dafür fehl.
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
Danach Neustart des Dienstes.
Wieder ausschalten:
Danach Neustart des Dienstes.
Status anzeigen:
oder
Grüße
lcer
kleines Update zu Windows Server 2019
Die RootTrustAnchors können mit folgendem Powershellbefehl geladen werden:
Add-DnsServerTrustAnchor -RootDie Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnableDnsSec 1Wieder ausschalten:
dnscmd /config /EnableDnsSec 0Status anzeigen:
dnscmd /info /EnableDnsSecoder
Get-DNSServerSetting -All | fl EnableDNSSecGrüße
lcer
Zitat von @lcer00:
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
Danach Neustart des Dienstes.
Wieder ausschalten:
Danach Neustart des Dienstes.
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnabledDnsSec 1Wieder ausschalten:
dnscmd /config /EnabledDnsSec 0Kurze Anmerkung hierzu, da es nicht funktioniert hat: Die genaue Syntax ist
dnscmd /config /EnableDnsSec 1EDIT: Schon madig, dass das seit Server 2016 nicht mehr komfortabel über die Checkbox geht... Manchmal baut MS auch einfach Müll...
Grüße
Ketanest
Zitat von @ketanest112:
Kurze Anmerkung hierzu, da es nicht funktioniert hat: Die genaue Syntax ist
oder eben 0 am Ende, das kleine d am Ende von Enabled muss weg. Tippfehler oder?
EDIT: Schon madig, dass das seit Server 2016 nicht mehr komfortabel über die Checkbox geht... Manchmal baut MS auch einfach Müll...
Grüße
Ketanest
Zitat von @lcer00:
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
Danach Neustart des Dienstes.
Wieder ausschalten:
Danach Neustart des Dienstes.
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnabledDnsSec 1Wieder ausschalten:
dnscmd /config /EnabledDnsSec 0Kurze Anmerkung hierzu, da es nicht funktioniert hat: Die genaue Syntax ist
dnscmd /config /EnableDnsSec 1EDIT: Schon madig, dass das seit Server 2016 nicht mehr komfortabel über die Checkbox geht... Manchmal baut MS auch einfach Müll...
Grüße
Ketanest
Tippfehler, ich habs geändert.
Grüße
lcer
