DNSSEC : signer une zone DNS avec Windows Server

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Présentation

DNSSEC (Domain Name System Security Extensions) est une extension du protocole DNS qui ajoute de la sécurité au protocole DNS en signant les enregistrements par un système de clef public/privé.

Cette extension permet au client de vérifier que la réponse reçue est valide et qu’elle n’a pas été changé par une attaque du type man-in-the-middle attack

Cette extension est normée par les RCF suivantes : 

Pour illustrer ce tutoriel, nous allons avoir comment signer une zone sur contrôleur de domaine.

Signer une zone avec DNSSEC sur Windows Server

Ouvrir la console Gestionnaire DNS et aller sur le nœud Zones de recherche directes 1. On peut voir que l’état DNSSEC de la zone lab.intra est Non signé 2.
Zones overview

Faire un clic droit sur la zone à signer 1, aller sur DNSSEC 2 puis cliquer sur Signer la zone 3 pour lancer l’assistant.
Param DNSSEC for zone

Au lancement de l’assistant, cliquer sur Suivant 1.
Wizard DNSSEC configuration

Choisir l’option Personnalisez les paramètres de signature de zone 1 puis cliquer sur Suivant 2.
DNSSEC signature options

Choisir le serveur mettre des clés 1 et cliquer sur Suivant 2.
Master of keys for DNSSEC

Un résumé sur la clé KSK s’affiche (celle-ci sert à signer une zone), cliquer sur Suivant 1.
KSK key

Cliquer sur Ajouter 1.
Wizard DNSSEC add KSK

Cliquer sur OK 1 pour valider les paramètres de la clé KSK.
Params key KSK

La clé KSK est ajoutée 1 cliquer sur Suivant 2.
Key KSK added

Un résumé de la clé ZSK (signature des données/enregistrements) s’affiche, cliquer sur Suivant 1.
DNSSEC - key ZSK

Cliquer sur Ajouter 1 pour configurer la clé ZSK.
Add ZSK key

Cliquer sur OK 1 pour valider les paramètres de la clé ZSK.
DNSSEC - key ZSK param

La clé ZSK est ajoutée 1, cliquer sur Suivant 2.
DNSSEC - key ZSK added

Sélectionner le protocole NSEC3 1 puis cliquer sur Suivant 2.
DNSSEC - select NSEC3

Laisser les options par défaut sur la configuration des ancres d’approbation, cliquer sur Suivant 1.
Anchor config

Laisser par défaut les paramètres de signatures, cliquer sur Suivant 1.
DNSSEC - param signature

Un résumé de la configuration DNSSEC s’affiche, cliquer sur Suivant 1 pour la valider.
Summary config dnssec

La configuration appliquée à la zone, quitter l’assistant en cliquant sur Fermer 1.
signed zone

Actualiser la zone dans la console Gestionnaire DNS, on voit qu’un cadenas a été ajouté sur le dossier de la zone pour indiquer que celle-ci est singée avec DNSSEC et plusieurs enregistrements RRSIG, DNSKEY, NSEC3… ont été ajoutés. Chaque enregistrement contient sa signature avec un enregistrement RRSIG du même nom.
DNSSEC - zone DNSSEC - zone

Utiliser DNSSEC

Sur un poste client du service DNS, ouvrir une invite de commande PowerShell entrer la commande suivante :

resolver-dnsname
Le serveur DNS nous a retourné une réponse « normale », sans information de signature.

Pour forcer une interrogation et surtout une réponse sécurisée, il faut ajouter le paramètre -DnssecOK à la commande précédente.

resolver-dnsname
On peut voir les paramètres de signature dans la réponse.

Stratégie de groupe pour une résolution DNSSEC

Comme on vient de le voir, pour récupérer un enregistrement sécurisé, il est nécessaire d’informer Windows de le faire. Afin que les postes du domaine utilisent DNSSEC, on va ajouter une stratégie de groupe qui va configurer la table NRPT (stratégie de résolution de nom) des ordinateurs pour les indiquer que le zone est signé.

Sur un contrôleur de domaine, ouvrir la console de Gestion de stratégie de groupe, faire un clic droit sur le domaine 1 puis cliquer sur Créer un objet GPO dans ce domaine et le lier ici 2.
New GPO

Nommer la GPO 1 puis cliquer sur OK 2.
Nammed GPO for DNSSEC

Faire un clic droit sur la stratégie ajoutée 1 et cliquer sur Modifier 2.
Edit GPO

Aller à l’emplacement Configuration ordinateur / Paramètres Windows / Stratégie de résolution de nom 1. Entrer le suffixe DNS de la zone signée 2, vérifier que les cases Activer DNSSEC dans cette règle 3 et Demander aux clients DNS de vérifier les données de nom de d’adresses ont été validés par le serveur DNS 4 soient cochées et cliquer sur Créer 5.
Config DNSSEC

Le domaine a été à la table de stratégie de résolution de nom 1, cliquer sur Appliquer 2.
zone added

Résumé de la stratégie : 
GPO DNSSEC Overview

Sur un poste du domaine où la stratégie est appliquée (gpupdate), ouvrir un invite de commande PowerShell et entrer la commande suivante : 

La commande doit retourner l’adresse IP avec les informations signatures.
DNSSEC resolve name



Related Posts


Bitlocker : activer le cryptage avec une puce TPM

IntroductionAjouter une puce TPM à un ordinateur virtuel Hyper-V (facultatif)Vérifier la présence d'un module TPMActiver BitlockerConclusionVidéo Introduction Dans ce tutoriel, je vais vous expliquer

Sophos XG : installation sur Hyper-V

Dans ce tutoriel, nous allons avoir comment installer un pare-feu Sophos XG sur une machine virtuelle avec Hyper-V. Pour cet article, j'ai utilisé la version Sophos XG home qui est disponible gratuite

DNS : redirecteur conditionnel

Présentation Dans cet article, je vais vous expliquer et vous montrer comment mettre en place un redirecteur conditionnel sur un serveur DNS Windows. Pour rappel, la redirection DNS permet au service

Retour haut de page