Testovaci nastroje DNSSEC?

Jan Kasprzak kas na fi.muni.cz
Pondělí Listopad 15 16:24:47 CET 2010 

Martin Och wrote:
: > From: "Jan Kasprzak" <kas na fi.muni.cz>
: > Porad zapasim s DNSSECem - jaky na to mate testovaci nastroj?
: > Ja jsem ted zkousel drill(1) z baliku ldns, ale pokazde mi to vraci
: > neco jineho:
: > 
: > $ cat > /tmp/root.key
: > . DNSKEY 257 3 8
: > AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
: > FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
: > bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
: > X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
: > W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
: > Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
: > $ drill -TD -k /tmp/root.key www.muni.cz a @127.0.0.1
: > 
: > a vysledek ma tri ruzne konce - kdyz drill spoustim opakovane, tak se
: > "nahodne" stridaji:
: 
: Aniz bych to nejak zkoumal, asi vsechny autoritativni servery neobsahuji totozna data.
: A nebo nektery nepodporuje dnssec?

	Jo, podle vseho to vypada ze ns.ces.net (jeden ze tri autoritativnich
pro muni.cz) nepodporuje DNSSEC. Dik patri Danovi Ohnesorgovi, ktery me na to
upozornil jako prvni.

<smutny povzdech>

	Na druhou stranu ten DNSSEC je v tom pripade pekny bastl, kdyz tohle
vyzaduje. Podle me by melo stacit, aby se prislusny rekurzivni nameserver
zeptal na RRSIG zaznamy zvlast, kdyz zadne nedostane uvnitr additional section.
Neni prece zadny extra velky duvod vyzadovat tohle po autoritativnim
nameserveru.

	Tohle cele je fakt velky problem DNSSECu - "stare DNS" pokud se dovedlo
do funkcniho stavu, tak v nem i zustalo. S DNSSECem prichazeji nove
a kreativni zpusoby jak neco muze prestat fungovat, a zjistite to po tydnu
nebo i vic (az treba vyprsi platnost podpisu). Nebo to zjisti jen nekdo
ve vnejsim svete a u vas vsechno funguje (jako tady kde jeden ze tri
autoritativnich nepodporuje DNSSEC; pokud vase stanice maji v resolv.conf
ty druhe dva a ptaji se jich primo, nikdy nezjistite ze neco uzivatelum
"tam venku" nefunguje).

</smutny povzdech>

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox

Další informace o konferenci Linux