作者 主題: 2010 11月份 SA@Taipei DNSSEC (11/28)  (閱讀 20458 次)

0 會員 與 1 訪客 正在閱讀本文。

kingeight

  • SA 苦力組
  • 活潑的大學生
  • ***
  • 文章數: 276
    • 檢視個人資料
2010 11月份 SA@Taipei DNSSEC (11/28)
« 於: 2010-10-28 15:12 »
DNSSEC (DNS Security Extensions) 為目前最新 DNS 認證技術
主要為防止 DNS 下毒, 詐騙等手法, 若善加利用, 更可防止 DNS伺服器被入侵的資料竄改,
目前全球根伺服器皆已完成 DNSSEC的部屬, 未來全球 DNS 伺器都會逐步轉為 DNSSEC 模式,
究竟你為什麼需要 DNSSEC 呢? 到底有什麼好處與缺點,
如何正確轉移您的網域資料成 DNSSEC ?,
本月將介紹你未來DNS 的趨勢, 不可不知!!!!!

主題:
DNSSEC Part II

議程簡介:
DNSSEC 介紹
DNSSEC 運作模式
DNSSEC 深入剖析
DNSSEC 封包介紹
DNSSEC 簽署
DNSSEC 注意事項
Q & A

課程首先介紹整個 DNSSEC 的說明跟運作流程,
接者是封包的講解跟範例。在簽署部份會先介紹
Linux/BIND 平台的簽署步驟,最後會介紹
Windows 版本的簽署步驟。

講者簡介:
HaWay
人稱爽維(從南部爽到北部)
酷學園的扛霸子(從南部扛到北部)
目前任職於 TWNIC (只要是 .tw都算他的管區)


時間:
2010 年 11 月 28 日 (星期日)
下午 01:00 ~ 04:00
時間規劃: 3 hr (一個不小心,講師打延長賽就會超過 3小時)

地點:
國立臺灣大學進修推廣部 台北市羅斯福路四段107號 303教室
此地點位於羅斯福路上靠近基隆路口

費用:
0 -

地理位置/交通路線:
http://training.dpd.ntu.edu.tw/NTU/Portal/ntumap.htm

活動報名網址:
http://www.study-area.org/samc/registry/add/71

主辦單位:
酷學園

協辦單位:
台灣網路資訊中心(TWNIC) http://www.twnic.net.tw/


當天不會錄影, 簡報也不會提供下載, 請學員自備筆記
« 上次編輯: 2011-02-12 16:29 由 sakana »

xiang

  • 鑽研的研究生
  • *****
  • 文章數: 711
  • 性別: 男
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #1 於: 2010-10-28 15:36 »
那天有事  殘念......

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #2 於: 2010-10-29 09:51 »
那天有事  殘念......

沒關係,下各月換你上台講就原諒你

西歪街

  • 鑽研的研究生
  • *****
  • 文章數: 696
  • 性別: 男
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #3 於: 2010-10-29 12:11 »
那天有事  殘念......

台南的打算要欠多久XD?...
在欠下去我們要算利息了喔XD..

xiang

  • 鑽研的研究生
  • *****
  • 文章數: 711
  • 性別: 男
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #4 於: 2010-10-29 12:25 »
大家別離題阿

這篇是  DNSSEC  阿!!

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #5 於: 2010-10-29 15:39 »
爽翔欠台南的加上利息,應該要兩各主題各在北中南都講二場,總共是六場才對

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #6 於: 2010-11-02 14:47 »
ithome 對 DNSSEC 的報導. DNSSEC 勢在必行啊~~~~~

http://www.ithome.com.tw/itadm/article.php?c=64111&s=1
我做人那麼 nice, 肯定有什麼誤會.....

尼歐醬

  • 可愛的小學生
  • *
  • 文章數: 7
  • 性別: 男
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC Part II (11/28)
« 回覆 #7 於: 2010-11-04 09:23 »
我報名了
我報名了


呵呵

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #8 於: 2010-11-05 15:27 »
喔喔喔!這場講師是傳說中的諧星啊!
一定要報名一下!!!
本文作者為天線寶寶,長期關注兒童智力發展狀態。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #9 於: 2010-11-08 13:09 »
喔喔喔!這場講師是傳說中的諧星啊!

一定要支持一下!!! (改個字也行 ;D
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #10 於: 2010-11-15 15:01 »
報成功了,還好在google行事曆看到這篇文章 ;D ;D

foxmould

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #11 於: 2010-11-16 21:36 »
請問有當天講義的下載嗎

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #12 於: 2010-11-17 17:34 »
只會有簡單的簡報可以下載. 完整版可能沒辦法 ~~ @@
我做人那麼 nice, 肯定有什麼誤會.....

Overcertified

  • 鑽研的研究生
  • *****
  • 文章數: 555
    • 檢視個人資料
    • http://www.itpro.tw
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #13 於: 2010-11-18 23:08 »
星期日剛好有時間  ! 過去Study 一下 HaWay 大師的介紹 8)
我的學習筆記 http://www.itpro.tw/blog
EveryBody Splunk ~~ ^_^

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #14 於: 2010-11-19 09:37 »
讓爽維大師提點一下,看看能不能學到一點,「如何爽爽的過日子」的技巧...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #15 於: 2010-11-19 13:40 »
讓爽維大師提點一下,看看能不能學到一點,「如何爽爽的過日子」的技巧...

這位施主已經爽到極致了, 沒辦法更上層樓喔~
我做人那麼 nice, 肯定有什麼誤會.....

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #16 於: 2010-11-22 21:30 »
我忘記我有沒有報了
現場報名若是額滿還可以進去聽嗎???
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #17 於: 2010-11-23 08:39 »
我忘記我有沒有報了
現場報名若是額滿還可以進去聽嗎???
歡迎!


如果現場椅子坐滿了,如果您不介意的話,還有走道可以坐^^
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #18 於: 2010-11-26 23:08 »
1. 日期是 11/28, 不要稿錯
2. 時間是 13:00 開始
3. 前面觀念很重要,不要遲到~~ :p
4. 記得帶筆記 or 電腦自己過來實作,但現場不提供電源與網路
我做人那麼 nice, 肯定有什麼誤會.....

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #19 於: 2010-11-30 11:46 »

括號() 部份請自行修改路徑或資料

代碼: [選擇]
產生 zsk
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE (domain)
產生 ksk
dnssec-keygen -r /dev/urandom -a RSASHA1 -f ksk -b 1024 -n ZONE (domain)

產生 zsk-nsec3
dnssec-keygen -r /dev/urandom -3 -a NSEC3RSASHA1 -b 1024 -n ZONE (domain)
產生 ksk-nsec3
dnssec-keygen -r /dev/urandom -3 -a NSEC3RSASHA1 -f ksk -b 1024 -n ZONE (domain)

把 key 加入 zone
cat *.key >> example.tw.db

NSEC 簽署
dnssec-signzone -o (domain) -k (ksk path) (zone file path) (zsk path)

NSEC3 簽署
dnssec-signzone -3 (salt) -H (hash 次數) -A -o (domain) -k (ksk path) (zone file path) (zsk path)


key rollover
NSEC key rollover
dnssec-signzone -o (domain) -k (ksk path) (zone file path) (zsk path) (zsk path)

NSEC3 key rollover
dnssec-signzone -3 (salt) -H (hash 次數) -A -o (domain) -k (ksk path) -k (ksk path) (zone file path) (zsk path)

======================================================================================

產生 key 設定並設定使用時間
dnssec-keygen

-P 時間之後加入 ZONE , 不簽 RRSIG
-A 時間之後加入 ZONE , 簽 RRSIG
-R 時間之後被設定為 revoke (KSK only) , 加入 ZONE , 簽 RRSIG
-I 時間之後加入 ZONE ,不簽 RRSIG
-D 時間之後不加入 ZONE ,(檔案不會被刪除)

ex:
dnssec-keygen -r /dev/urandom -3 -a NSEC3RSASHA1 -b 1024 -P +10d -A +15d -I +30d -D +35d -n ZONE (domain)

搭配時間,smart 模式簽署
dnssec-signzone -S -o (domain) -K (key path) (zone file path)

======================================================================================

簽署時搭配 dsset-(domain) 自動簽署 DS
dnssec-signzone -g -d (dsset path) -S -o (domain) -K (key path) (zone file path)
我做人那麼 nice, 肯定有什麼誤會.....

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #20 於: 2010-11-30 12:36 »
勘誤表:

1. ZSK 的 RRSIG 不是 ksk 簽出來的.
ksk & zsk 在 example.tw 裡面是同一個 fqdn & type, 所以 ksk & zsk 後面的值同樣會被做 hash 然後由 zsk & ksk 在簽一次. 瞭解?

2. CD bit
CD bit 的作用就是 resolver 不要 cache 做資料驗證. 就把 CD bit 設定為 1, cache 就不需要驗證 DNSSEC,
這是 client 若有自己的驗證方法的時候可以用的值.

我做人那麼 nice, 肯定有什麼誤會.....

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #21 於: 2010-11-30 15:01 »
我做人那麼 nice, 肯定有什麼誤會.....

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3980
    • 檢視個人資料
回覆: 2010 11月份 SA@Taipei DNSSEC (11/28)
« 回覆 #22 於: 2011-03-22 09:37 »
http://dns-security.twnic.net.tw/SEC100/

裡面有簡報可以下載. DNSSEC 的
我做人那麼 nice, 肯定有什麼誤會.....