DNSSEC : signer une zone DNS avec Windows Server


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

DNSSEC (Domain Name System Security Extensions) est une extension du protocole DNS qui ajoute de la sécurité au protocole DNS en signant les enregistrements par un système de clef public/privé.

Cette extension permet au client de vérifier que la réponse reçue est valide et qu’elle n’a pas été changé par une attaque du type man-in-the-middle attack

Cette extension est normée par les RCF suivantes : 

Pour illustrer ce tutoriel, nous allons avoir comment signer une zone sur contrôleur de domaine.

Signer une zone avec DNSSEC sur Windows Server

Ouvrir la console Gestionnaire DNS et aller sur le nœud Zones de recherche directes 1. On peut voir que l’état DNSSEC de la zone lab.intra est Non signé 2.

Zones overview

Faire un clic droit sur la zone à signer 1, aller sur DNSSEC 2 puis cliquer sur Signer la zone 3 pour lancer l’assistant.

Param DNSSEC for zone


Au lancement de l’assistant, cliquer sur Suivant 1.

Wizard DNSSEC configuration

Choisir l’option Personnalisez les paramètres de signature de zone 1 puis cliquer sur Suivant 2.

DNSSEC signature options


Choisir le serveur mettre des clés 1 et cliquer sur Suivant 2.

Master of keys for DNSSEC

Un résumé sur la clé KSK s’affiche (celle-ci sert à signer une zone), cliquer sur Suivant 1.

KSK key

Cliquer sur Ajouter 1.

Wizard DNSSEC add KSK

Cliquer sur OK 1 pour valider les paramètres de la clé KSK.

Params key KSK

La clé KSK est ajoutée 1 cliquer sur Suivant 2.

Key KSK added

Un résumé de la clé ZSK (signature des données/enregistrements) s’affiche, cliquer sur Suivant 1.

DNSSEC - key ZSK

Cliquer sur Ajouter 1 pour configurer la clé ZSK.

Add ZSK key

Cliquer sur OK 1 pour valider les paramètres de la clé ZSK.

DNSSEC - key ZSK param

La clé ZSK est ajoutée 1, cliquer sur Suivant 2.

DNSSEC - key ZSK added

Sélectionner le protocole NSEC3 1 puis cliquer sur Suivant 2.

DNSSEC - select NSEC3

Laisser les options par défaut sur la configuration des ancres d’approbation, cliquer sur Suivant 1.

Anchor config

Laisser par défaut les paramètres de signatures, cliquer sur Suivant 1.

DNSSEC - param signature

Un résumé de la configuration DNSSEC s’affiche, cliquer sur Suivant 1 pour la valider.

Summary config dnssec

La configuration appliquée à la zone, quitter l’assistant en cliquant sur Fermer 1.

signed zone

Actualiser la zone dans la console Gestionnaire DNS, on voit qu’un cadenas a été ajouté sur le dossier de la zone pour indiquer que celle-ci est singée avec DNSSEC et plusieurs enregistrements RRSIG, DNSKEY, NSEC3… ont été ajoutés. Chaque enregistrement contient sa signature avec un enregistrement RRSIG du même nom.

Utiliser DNSSEC

Sur un poste client du service DNS, ouvrir une invite de commande PowerShell entrer la commande suivante :

Resolve-DnsName  -Server 
resolver-dnsname

Le serveur DNS nous a retourné une réponse « normale », sans information de signature.

Pour forcer une interrogation et surtout une réponse sécurisée, il faut ajouter le paramètre -DnssecOK à la commande précédente.

Resolve-DnsName  -Server  -DnssecOK
resolver-dnsname

On peut voir les paramètres de signature dans la réponse.

Stratégie de groupe pour une résolution DNSSEC

Comme on vient de le voir, pour récupérer un enregistrement sécurisé, il est nécessaire d’informer Windows de le faire. Afin que les postes du domaine utilisent DNSSEC, on va ajouter une stratégie de groupe qui va configurer la table NRPT (stratégie de résolution de nom) des ordinateurs pour les indiquer que le zone est signé.

Sur un contrôleur de domaine, ouvrir la console de Gestion de stratégie de groupe, faire un clic droit sur le domaine 1 puis cliquer sur Créer un objet GPO dans ce domaine et le lier ici 2.

Nommer la GPO 1 puis cliquer sur OK 2.

Nammed GPO for DNSSEC

Faire un clic droit sur la stratégie ajoutée 1 et cliquer sur Modifier 2.

Aller à l’emplacement Configuration ordinateur / Paramètres Windows / Stratégie de résolution de nom 1. Entrer le suffixe DNS de la zone signée 2, vérifier que les cases Activer DNSSEC dans cette règle 3 et Demander aux clients DNS de vérifier les données de nom de d’adresses ont été validés par le serveur DNS 4 soient cochées et cliquer sur Créer 5.

Le domaine a été à la table de stratégie de résolution de nom 1, cliquer sur Appliquer 2.

Résumé de la stratégie : 

Sur un poste du domaine où la stratégie est appliquée (gpupdate), ouvrir un invite de commande PowerShell et entrer la commande suivante : 

Resolve-DnsName <RecordInZone>

La commande doit retourner l’adresse IP avec les informations signatures.




Laisser un commentaire