Utiliser Unbound avec DNSSEC

De Le Wiki du Forum-Debian.fr
Révision datée du 1 septembre 2016 à 11:37 par PengouinPdt (discussion | contributions) (Page créée avec « {{Reseau et Wifi |Domaine=Sécurité, Réseau |Action=Gestion |Installé sur=Ordinateur de bureau, Ordinateur portable |Niveau de difficulté=Intermédiaire |Protocole=DNS... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Modèle:Reseau et Wifi Utiliser Unbound avec DNSSEC

Le but d'utiliser Unbound est d'avoir localement sur sa station son propre serveur DNS Cache (enregistrant la relation noms de domaine et adresses IP déjà visités, afin de ne pas aller interroger les serveurs DNS Root, sauf à changement de ladite information). Et, utiliser Unbound avec la gestion sécurisée des informations DNS, par le biais de la technologie DNSSEC, est un plus indéniable (cela évite d'avoir à obtenir des informations DNS faussées, par une action pirate). Cette dernière est assumée par l'outil dnssec-trigger !

Installation de Unbound et de l'outil dnssec-trigger

Avec Debian, comme d'habitude, rien de bien compliqué !


# apt install unbound unbound-host dnssec-trigger


Configuration de Unbound

La configuration d'unbound ne pose pas de gros problème, en soit, il faut veiller à l'écriture correcte des informations !

Voyons quelques détails dits de sécurité à paramétrer absolument dans votre propre fichier de configuration, que l'on nommera ainsi, pour l'exemple : /etc/unbound/unbound.conf.d/perso.conf

Gestion des réseaux autorisés 

   access-control: 127.0.0.0/8 allow ## j'autorise mon serveur
   access-control: 192.168.1.0/24 allow ## j'autorise le réseau local
   access-control: 0.0.0.0/0 refuse ## j'interdis tout le reste de l'Internet !

Durcir et cacher certaines informations 

   harden-algo-downgrade: no # créer de faux positifs avec les zones DNS mal configurées, si actif
   harden-below-nxdomain: yes
   harden-dnssec-stripped: yes
   harden-glue: yes
   harden-referral-path: yes

   hide-identity: yes
   hide-version: yes

Gestion des caches 

   # garde en cache les bons résultats
   prefetch: yes

   cache-min-ttl: 3600
   cache-max-ttl: 86400

   key-cache-slabs: 4
   infra-cache-slabs: 4
   msg-cache-slabs: 4
   rrset-cache-slabs: 4

   key-cache-size: 16m
   msg-cache-size: 4m
   rrset-cache-size: 8m

Gestion des journaux 

   # gestion logs
   logfile: /var/log/unbound/unbound.log
   use-syslog: yes
   val-clean-additional: yes
   val-log-level: 2
   verbosity: 3

Bloque certains sites 

   # bloque cetaines pubs
   local-zone: "doubleclick.net" redirect
   local-data: "doubleclick.net A 127.0.0.1"
   local-zone: "googlesyndication.com" redirect
   local-data: "googlesyndication.com A 127.0.0.1"
   local-zone: "googleadservices.com" redirect
   local-data: "googleadservices.com A 127.0.0.1"
   local-zone: "google-analytics.com" redirect
   local-data: "google-analytics.com A 127.0.0.1"
   local-zone: "ads.youtube.com" redirect
   local-data: "ads.youtube.com A 127.0.0.1"
   local-zone: "adserver.yahoo.com" redirect
   local-data: "adserver.yahoo.com A 127.0.0.1"
   local-zone: "ask.com" redirect
   local-data: "ask.com A 127.0.0.1"

Documentation à finir !!!

Récupérée de « https://forum-debian.fr/wiki/index.php?title=Utiliser_Unbound_avec_DNSSEC&oldid=6685 »