Haben Sie DNSSEC auf dem DNS-Server aktiviert? Wenn nicht, erfahren Sie, wie Sie DNSSEC auf Bind-basierten DNS-Servern aktivieren. Nachdem Sie den sicheren DNS-Server mit DNSSEC-Validierung installiert und konfiguriert haben, stellen Sie sicher, dass Sie ihn ordnungsgemäß testen. Hier sind die grundlegenden Tests, die Sie als Administrator durchführen sollten, nachdem Sie einen DNSSEC-fähigen DNS-Server eingerichtet haben. Stellen Sie sicher, dass die DNSSEC-signierten DNS-Domänen korrekt validiert werden, indem Sie das Flag Authenticated Data (AD) melden, und die DNS-Domänen mit defektem DNSSEC werden nicht mit SERVFAIL validiert. Der Resolver sollte jedoch Nicht-DNSSEC-Domänen wie gewohnt auflösen. Wir werden sehen, wie DNSSEC sowohl mit dem Befehl als auch mit dem Webdienst validiert wird.
Wie validiere ich DNSSEC-signierte Domains mit dig?
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
Lassen Sie uns jetzt eine DNSSEC-signierte Domain testen!
$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssectest.sidn.nl. IN A ;; ANSWER SECTION: dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl. dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 ( 20131114071501 42033 sidn.nl. oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= ) www.sidn.nl. 10466 IN A 213.136.31.220 www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 ( 20131113071501 42033 sidn.nl. QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= ) ;; Query time: 1610 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:43:14 2013 ;; MSG SIZE rcvd: 415
Achten Sie in der obigen Ausgabe auf in FLAGS festgelegte authentifizierte Daten (AD). Beim Anfordern einer DNSSEC-signierten DNS-Domäne mit gesetztem DO-Flag (d. h. DNSSEC OK) sollte ein im Header gesetztes Flag für authentifizierte Antwort (AD) bereitgestellt werden.
Validierung einer defekten oder falsch konfigurierten DNSSEC-Domain
$ dig dnssec-or-not.org +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec-or-not.org. IN A ;; Query time: 334 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:46:32 2013 ;; MSG SIZE rcvd: 46
Der Versuch, eine Domain mit DNSSEC-Problemen zu beheben, sollte SERVFAIL zurückgeben als Returncode im Header. Suchen Sie in der obigen Ausgabe nach SERVFAIL.
Validierung von signierter Nicht-DNSSEC-Domäne, sollte normal aufgelöst werden
$ dig espncricinfo.com +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;espncricinfo.com. IN A ;; ANSWER SECTION: espncricinfo.com. 102 IN A 80.168.92.141 ;; Query time: 431 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:51:12 2013 ;; MSG SIZE rcvd: 61
Der Versuch, eine Domain aufzulösen, die nicht DNSSEC-signiert ist, sollte normal aufgelöst werden. Warum espncricinfo.com? Nun, ich habe mir Sachin Tendulkars letztes und 200. Testspiel gegen Westindien angesehen. Was für eine Legende!
Wenige Webdienste für DNSSEC-Tests
DNSVIZ
Es ist ein Webdienst, um den Status einer DNS-Zone zu visualisieren. Es hilft Ihnen, die DNSSEC-Bereitstellungsprobleme zu verstehen und zu beheben, indem es eine visuelle Analyse der DNSSEC-Authentifizierungskette und ihres Auflösungspfads bereitstellt. Das Tool ist in der Lage, die Konfigurationsfehler während des Validierungsprozesses aufzulisten.
Testen Sie DNSVIZ.
ZoneCheck
ZoneCheck ist ein einfaches Tool, mit dem Sie DNS-Fehlkonfigurationen herausfinden und beheben können. Es überprüft die Zone auf falsche Konfigurationen oder Inkonsistenzen (aufgrund von Latenz der Anwendung) und generiert einen Bericht.
Überprüfen Sie ZoneCheck.SecSpider von Verisign
SecSpider überwacht Bereitstellungsmetriken von DNSSEC, Verfügbarkeitsmetriken, Verifizierbarkeitsmetriken, Validierungsmetriken usw.
Überprüfen Sie SecSpider.
Und mehr…
* Verisign Labs entwickelte „DNSSEC oder nicht?“ Prüfer. Hier zur Kasse gehen.
* SIDN entwickelt „Sind Sie ein geschützter DNSSEC?“ – Hier zur Kasse gehen.
* ICSI Netalyzer, ein Tool zum Testen von Netzwerken, das auch eine DNSSEC-Validierung umfasst – Hier zur Kasse.
* Ein ähnliches von der Universität Düsseldorf, Deutschland – Hier zur Kasse.
LESEN:Leitfaden für Anfänger zu DNSSEC
LESEN:Wie richte ich DNSSEC auf Bind ein?