DNSSEC na zona raiz? Como usá-lo?

Navegue suas respostas
1

Estou usando o Fedora para uso em desktop e eu: 

yum -y install caching-nameserver
service named restart
chkconfig --level 5 named on

, e defina o servidor de nomes para 127.0.0.1. Se eu: 

dig google.com | grep SERVER
;; SERVER: 127.0.0.1#53(127.0.0.1)

Então eu posso ver que está tudo bem ... Estou usando meu servidor de cache DNS local instalado anteriormente! Viva! (sem mais DNS de baixa qualidade do meu ISP ..)

Então eu tentei tcpdump : 

tcpdump -n -i eth0 dst port 53

Tudo o que posso ver é que meu servidor DNS local não usa o servidor DNS do meu provedor para resolver, mas usa o servidor DNS dos servidores raiz (endereço IP) para resolver meus nomes de domínio (os que eu digito no meu navegador).

Pergunta # 1 : Meu servidor de cache DNS realmente só usa apenas o servidor DNS dos servidores raiz para resolver?

Pergunta # 2 : Se usar DNSSEC me dá mais segurança em relação a DNS, então como eu poderia definir meu cache de dns de pc / local para usar somente e permitir somente DNSSEC? Acho que o DNSSEC foi implantado há anos (?) Nos servidores DNS raiz.

Atualizar : Eu tinha entendido mal alguma coisa, e para usar apenas DNSSEC eu precisaria disso: todos os NSs dos domínios que estou visitando devem ser configurados para usar DNSSEC - e isso não é muito usado, então não posso usar apenas DNSSEC. / p>     

por LanceBaynes 21.05.2011 / 21:42

2 respostas

8

  1. O resolvedor local que você configurou não usará o resolvedor do seu provedor por padrão. Ele começará perguntando diretamente à raiz por respostas para tudo que ela precisa. A raiz irá retornar respostas que dizem coisas como "Eu não sei onde www.example.com é; você deve ir falar com com e aqui está um conjunto de endereços para como falar com com " (e fora de você Eu vou tentar falar com com , que o encaminharia para example.com ) ". No final, você seguirá a cadeia até obter sua resposta. Se você precisar encontrar ftp.example.com , seu local O resolvedor teria um "cache" que permitiria que ele fosse direto para os servidores example.com , ou se você quisesse que foo.com fosse direto para os servidores com e não perguntasse à raiz.

  2. Para o DNSSEC, grande parte do mundo implantou-o de cima para baixo, mas os domínios inferiores não o fizeram. A raiz foi assinada, com foi assinado, net foi assinado, etc. Mas facebook.com , google.com , etc não. Felizmente, o DNSSEC foi projetado para permitir isso e o software que tenta acompanhar com segurança os registros DNS chegará a um servidor de nomes ( com , por exemplo, that says "I don't know where www.facebook.com is and you should go talk to facebook.com 'e oh, pelo De qualquer forma, eles ainda não estão protegidos ". IE, DNSSEC oferece a você algo chamado comprovadamente inseguro . Isso permite que você saiba com certeza que um pai de uma zona diz que a criança não está assinada (o que é simplificação, eles poderiam ter assinado, mas não "encadeado" ainda).

Vale a pena notar que o DNSSEC não está habilitado por padrão e você precisa ativá-lo nos arquivos de configuração de ligação. Eu acho que o fedora padrão named.conf agora tem DNSSEC ativado, mas você deve verificar. Em seu arquivo named.conf você encontrará esperançosamente uma seção que possui uma chave confiável para a raiz: 

trusted-keys {
  . 257 3 8 "AwEAAagAIKlVZr...";
}

E uma seção de opções que ativa a validação do DNSSEC: 

options {
    dnssec-enable yes;
    dnssec-validation yes;
};

Com isso ativado, se você fizer um dig +dnssec www.dnssec-tools.org , por exemplo, verá o sinal AD retornado na saída. O sinalizador AD significa que o registro foi verificado por meio do DNSSEC. Se você pesquisar por www.facebook.com , não verá este sinalizador. 

# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
                   ^^
                   ^^
    
por 24.05.2011 / 16:05
1

Você deve configurar forwarders em seu servidor local para apontar para seus servidores ISP. Você também pode definir forward-only .

Não tenho certeza sobre o # 2.

    
por 21.05.2011 / 22:10

Tags

Os períodos ((.)) são caracteres válidos em nomes de arquivos ou pastas? [fechadas] Programação da interface de usuário do Linux? (especialmente para Python e Fortran)