Povolili jste DNSSEC na serveru DNS? Pokud ne, zjistěte, jak povolit DNSSEC na serveru DNS založeném na Bind. Jakmile nainstalujete a nakonfigurujete DNSSEC ověřující zabezpečený DNS server, ujistěte se, že jste jej řádně otestovali. Jako správce zde uvádíme základní testování, které byste měli provést po nastavení serveru DNS s povoleným DNSSEC. Ujistěte se, že domény DNS, které jsou podepsány DNSSEC, jsou správně ověřeny nahlášením příznaku Authenticated Data (AD) a domény DNS s poškozeným DNSSEC nejsou ověřeny pomocí SERVFAIL. Překladač by však měl vyřešit domény bez DNSSEC jako obvykle. Uvidíme, jak ověřit DNSSEC pomocí příkazové i webové služby.
Jak ověřit domény podepsané DNSSEC pomocí dig?
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
Pojďme nyní otestovat doménu podepsanou DNSSEC!
$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssectest.sidn.nl. IN A ;; ANSWER SECTION: dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl. dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 ( 20131114071501 42033 sidn.nl. oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= ) www.sidn.nl. 10466 IN A 213.136.31.220 www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 ( 20131113071501 42033 sidn.nl. QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= ) ;; Query time: 1610 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:43:14 2013 ;; MSG SIZE rcvd: 415
Ve výše uvedeném výstupu hledejte Authenticated Data (AD) nastavená v FLAGS. Požadavek na doménu DNS podepsanou DNSSEC se sadou příznaku DO (což je DNSSEC OK) by měl poskytnout příznak Authenticated answer (AD) nastavený v záhlaví.
Ověřování poškozené nebo nesprávně nakonfigurované domény DNSSEC
$ dig dnssec-or-not.org +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec-or-not.org. IN A ;; Query time: 334 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:46:32 2013 ;; MSG SIZE rcvd: 46
Pokus o vyřešení domény, která má problémy s DNSSEC, by měl vrátit SERVFAIL jako návratový kód v záhlaví. Vyhledejte SERVFAIL z výše uvedeného výstupu.
Ověřování domény, která není podepsaná DNSSEC, by se mělo normálně vyřešit
$ dig espncricinfo.com +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;espncricinfo.com. IN A ;; ANSWER SECTION: espncricinfo.com. 102 IN A 80.168.92.141 ;; Query time: 431 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:51:12 2013 ;; MSG SIZE rcvd: 61
Pokus o vyřešení domény, která není podepsána DNSSEC, by se měl vyřešit normálně. Proč espncricinfo.com? No, díval jsem se na poslední a 200. testovací zápas Sachina Tendulkara proti West Indies. Jaká legenda!
Málo webových služeb pro testování DNSSEC
DNSVIZ
Je to webová služba pro vizualizaci stavu zóny DNS. Pomáhá vám porozumět a řešit problémy s nasazením DNSSEC tím, že poskytuje vizuální analýzu autentizačního řetězce DNSSEC a jeho cesty řešení. Nástroj je schopen vypsat seznam chyb konfigurace během procesu ověřování.
Pokladna DNSVIZ.
ZoneCheck
ZoneCheck je jednoduchý nástroj, který vám umožní zjistit a vyřešit chybné konfigurace DNS. Zkontroluje zónu pro nesprávné konfigurace nebo nekonzistence (kvůli latenci aplikace) a vygeneruje zprávu.
Zkontrolujte ZoneCheck.SecSpider Verisign
SecSpider monitoruje metriky nasazení DNSSEC, metriky dostupnosti, metriky ověřitelnosti, metriky ověření atd…
Zkontrolujte SecSpider.
A další…
* Společnost Verisign Labs vyvinula „DNSSEC nebo ne?“ validátor. Pokladna zde.
* SIDN vyvinuto "Jste chráněný DNSSEC?" – Pokladna zde.
* ICSI Netalyzer, nástroj pro testování sítě, který zahrnuje také ověření DNSSEC – podívejte se zde.
* Podobný z University Düsseldorf, Německo – podívejte se zde.
ČTĚTE:Průvodce DNSSEC pro začátečníky
ČTĚTE:Jak nastavit DNSSEC on Bind?