DNSSEC : signer une zone DNS avec Windows Server

Présentation

DNSSEC (Domain Name System Security Extensions) est une extension du protocole DNS qui ajoute de la sécurité au protocole DNS en signant les enregistrements par un système de clef public/privé.

Cette extension permet au client de vérifier que la réponse reçue est valide et qu’elle n’a pas été changé par une attaque du type man-in-the-middle attack

Cette extension est normée par les RCF suivantes : 

Pour illustrer ce tutoriel, nous allons avoir comment signer une zone sur contrôleur de domaine.

Signer une zone avec DNSSEC sur Windows Server

Ouvrir la console Gestionnaire DNS et aller sur le nœud Zones de recherche directes 1. On peut voir que l’état DNSSEC de la zone lab.intra est Non signé 2.
Zones overview

Faire un clic droit sur la zone à signer 1, aller sur DNSSEC 2 puis cliquer sur Signer la zone 3 pour lancer l’assistant.
Param DNSSEC for zone

Au lancement de l’assistant, cliquer sur Suivant 1.
Wizard DNSSEC configuration

Choisir l’option Personnalisez les paramètres de signature de zone 1 puis cliquer sur Suivant 2.
DNSSEC signature options

Choisir le serveur mettre des clés 1 et cliquer sur Suivant 2.
Master of keys for DNSSEC

Un résumé sur la clé KSK s’affiche (celle-ci sert à signer une zone), cliquer sur Suivant 1.
KSK key

Cliquer sur Ajouter 1.
Wizard DNSSEC add KSK

Cliquer sur OK 1 pour valider les paramètres de la clé KSK.
Params key KSK

La clé KSK est ajoutée 1 cliquer sur Suivant 2.
Key KSK added

Un résumé de la clé ZSK (signature des données/enregistrements) s’affiche, cliquer sur Suivant 1.
DNSSEC - key ZSK

Cliquer sur Ajouter 1 pour configurer la clé ZSK.
Add ZSK key

Cliquer sur OK 1 pour valider les paramètres de la clé ZSK.
DNSSEC - key ZSK param

La clé ZSK est ajoutée 1, cliquer sur Suivant 2.
DNSSEC - key ZSK added

Sélectionner le protocole NSEC3 1 puis cliquer sur Suivant 2.
DNSSEC - select NSEC3

Laisser les options par défaut sur la configuration des ancres d’approbation, cliquer sur Suivant 1.
Anchor config

Laisser par défaut les paramètres de signatures, cliquer sur Suivant 1.
DNSSEC - param signature

Un résumé de la configuration DNSSEC s’affiche, cliquer sur Suivant 1 pour la valider.
Summary config dnssec

La configuration appliquée à la zone, quitter l’assistant en cliquant sur Fermer 1.
signed zone

Actualiser la zone dans la console Gestionnaire DNS, on voit qu’un cadenas a été ajouté sur le dossier de la zone pour indiquer que celle-ci est singée avec DNSSEC et plusieurs enregistrements RRSIG, DNSKEY, NSEC3… ont été ajoutés. Chaque enregistrement contient sa signature avec un enregistrement RRSIG du même nom.
DNSSEC - zone DNSSEC - zone

Utiliser DNSSEC

Sur un poste client du service DNS, ouvrir une invite de commande PowerShell entrer la commande suivante :

Resolve-DnsName <RecordInZone> -Server <DNSServer>

resolver-dnsname
Le serveur DNS nous a retourné une réponse « normale », sans information de signature.

Pour forcer une interrogation et surtout une réponse sécurisée, il faut ajouter le paramètre -DnssecOK à la commande précédente.

Resolve-DnsName <RecordInZone> -Server <DNSServer> -DnssecOK

resolver-dnsname
On peut voir les paramètres de signature dans la réponse.

Stratégie de groupe pour une résolution DNSSEC

Comme on vient de le voir, pour récupérer un enregistrement sécurisé, il est nécessaire d’informer Windows de le faire. Afin que les postes du domaine utilisent DNSSEC, on va ajouter une stratégie de groupe qui va configurer la table NRPT (stratégie de résolution de nom) des ordinateurs pour les indiquer que le zone est signé.

Sur un contrôleur de domaine, ouvrir la console de Gestion de stratégie de groupe, faire un clic droit sur le domaine 1 puis cliquer sur Créer un objet GPO dans ce domaine et le lier ici 2.
New GPO

Nommer la GPO 1 puis cliquer sur OK 2.
Nammed GPO for DNSSEC

Faire un clic droit sur la stratégie ajoutée 1 et cliquer sur Modifier 2.
Edit GPO

Aller à l’emplacement Configuration ordinateur / Paramètres Windows / Stratégie de résolution de nom 1. Entrer le suffixe DNS de la zone signée 2, vérifier que les cases Activer DNSSEC dans cette règle 3 et Demander aux clients DNS de vérifier les données de nom de d’adresses ont été validés par le serveur DNS 4 soient cochées et cliquer sur Créer 5.
Config DNSSEC

Le domaine a été à la table de stratégie de résolution de nom 1, cliquer sur Appliquer 2.
zone added

Résumé de la stratégie : 
GPO DNSSEC Overview

Sur un poste du domaine où la stratégie est appliquée (gpupdate), ouvrir un invite de commande PowerShell et entrer la commande suivante : 

Resolve-DnsName <RecordInZone>

La commande doit retourner l’adresse IP avec les informations signatures.
DNSSEC resolve name



Related Posts


LAPS – Sécurisation des comptes Administrateur Local

LAPS (Local Administrator Password Solution) est une solution gratuite fournie par Microsoft qui permet la sécurisation des postes de travail. LAPS permet pour chaque ordinateur présent dans OU de gén

Partage réseau : activer l’énumération basée sur l’accès EBA

Introduction L'énumération basée sur l'accès permet d'afficher dans un partage réseau, seulement les dossiers et fichiers dont l'utilisation possède à minima un droit de lecture. Les autres documents

AD FS : installation et configration

Dans cet article, je vous propose de découvrir les rôles AD FS et Proxy (WAP). Dans la cadre de la préparation à la certification 70-742, je me suis lancé dans le maquettage d'une infra. C'est quoi ?