Jump to content

DNSSEC и Вы

Aliech

By Aliech
in У нага

 Share

  

39 members have voted

  1. 1. Внедрили вы DNSSEC на свои резолверы?

    • Да, и оно точно работает.
      4
    • Демоны (bind или unbound) собраны с его поддержкой/железо это умеет, а как оно работает - ХЗ
      15
    • Мне это до лампочки, пользователю всёравно оно не надо
      19
    • Мы это всё сознательно погасили
      1

Recommended Posts

Aliech

Aliech

Posted
Posted (edited)

Вот в этой ветке форума есть темы про внедрение ipv6. И, кстати, я за него двумя руками, но тема не о том...

 

Захотел я потрогать DNSSEC, дабы пользоваться плагином к своему Firefox. То есть проверять валидность ответов, на случай подмены. И на тебе: резолвер провайдера явно не поддерживает данную технологию. Позвонил в ТП, а мне там, после двадцати минут ожидания, рассказали, что, видите ли, это совсем не надо! Ибо это не часть интернета, а лишняя приблуда! Вот тебе и защита пользователей от мошенничества.

 

Товарищи, может кто-то у себя уже внедрил? Неужто всем глубоко пофиг?

Edited by Aliech
ipaddr.ru

ipaddr.ru

Posted
Posted

В окружающем меня ccTLD подписано около 30% доменов. Разумеется, не пофиг.

 

Но странно как-то работает ваш плагин - dnssec-validator, насколько я помню, умеет сам ходить от рута или через trusted source. Ну а провайдеру стоило б обновить свой bind 4.4.

Aliech

Aliech

Posted
  • Author
Posted (edited)

В окружающем меня ccTLD подписано около 30% доменов. Разумеется, не пофиг.

 

Но странно как-то работает ваш плагин - dnssec-validator, насколько я помню, умеет сам ходить от рута или через trusted source. Ну а провайдеру стоило б обновить свой bind 4.4.

 

До плагина ещё не дошло даже, я drill'ом смотрел.

 

UPD: выглядит так, будто у них не прописан ключ для рута...

Edited by Aliech
rps

rps

Posted
Posted (edited)

Недавно tci начисто поломал зону .рф на несколько дней кривым её подписыванием. Так что есть мнение, что пока рано на хомячков включать.

Так что в голосовалке не хватает пункта "сознательно выключили".

Edited by rps
ipaddr.ru

ipaddr.ru

Posted
Posted

Недавно tci начисто поломал зону .рф на несколько дней кривым её подписыванием. Так что есть мнение, что пока рано на хомячков включать.

Так что в голосовалке не хватает пункта "сознательно выключили".

А я чего-то не заметил. Неудивительно, конечно, никому нафиг не сдался .рф. Есть где-нибудь расследования?

rps

rps

Posted
Posted

А я чего-то не заметил. Неудивительно, конечно, никому нафиг не сдался .рф.

У нас абоненты начали жаловаться на недоступность каких-то ресурсов в нем.

Я изучение проблемы не сохранил, но, емнип, они NSEC3 не выдавали для имён второго уровня.

  • 10 months later...
Domainer

Domainer

Posted
Posted

Кто-нибудь реализовал у себя сабж?

Попробовал подписать домен в зоне .ua (корень уже подписан). Валидаторы отвечают что все ок, кроме того что на сервере .ua нет DS-записи о домене (возможная причина в том, что в ua DS пока что вручную добавляется).

 

Вопрос в BIND'е. Создал KSK и ZSK домена, изменил в конфиге путь к файлу зоны на examle.com.signed. После этого зона успешно подписывается, но:

1. Если скопировать ds записи в оригинальную зону и заново ее подписать, ошибка:

 

dnssec-signzone: fatal: 'examle.com': found DS RRset without NS RRset.

 

Удаляю DS-ки - все ок, зона подписывается и обновляется.

Подписал зону на слейве - все-равно потом при наличии DS-записей не работает. Что я делаю не так?

Ivan_83

Ivan_83

Posted
Posted

Тут дело не в защите пользователей а в контроле за интернетом со стороны держателей ключей рутовой зоны.

Пока наши долпаёпы играются с выборочной блокировкой на территории страны, умные люди тихо внедрили DNSEC и теперь могут выключать что хотят.

Пользователи могли бы защитится тупо перейдя на TCP, ещё там была фича с регистром букв в доменных именах запросов и ответов для расширения DNS msg ID в плане битности, опять же для избежания получения "ответов" от левых источников.

Aliech

Aliech

Posted
  • Author
Posted

Тут дело не в защите пользователей а в контроле за интернетом со стороны держателей ключей рутовой зоны.

Пока наши долпаёпы играются с выборочной блокировкой на территории страны, умные люди тихо внедрили DNSEC и теперь могут выключать что хотят.

Пользователи могли бы защитится тупо перейдя на TCP, ещё там была фича с регистром букв в доменных именах запросов и ответов для расширения DNS msg ID в плане битности, опять же для избежания получения "ответов" от левых источников.

 

А не бред ли?

а) кто сказал, что нельзя обрубить домен без DNSSEC?

б) кто сказал, что пользователя спасёт TCP?

s.lobanov

s.lobanov

Posted
Posted

б) кто сказал, что пользователя спасёт TCP?

 

теоретически и криптография не спасает, существует ненулевая вероятность угадать. точно так же эта вероятность существует и в tcp(угадать номера), да она больше, чем при использовании dnssec, но тоже близка к нулю

Ivan_83

Ivan_83

Posted
Posted
А не бред ли?

Время покажет.

 

а) кто сказал, что нельзя обрубить домен без DNSSEC?

Как вы собрались разом взять и выключить, например ru?

В DNSSEC на корневых серверах просто прекратят отдавать и всё.

Свои корневые можно поднять за 1 минуту, только клиенты с них будут ответы режектить, ибо они не подписаны, ибо закрытого ключа от рута не дали.

 

б) кто сказал, что пользователя спасёт TCP?

Смотря от чего.

Вот когда клиенту пытаются отравить кеш и льют постоянно левые ответы то очень спасёт.

А когда кто то захватил IP адрес где днс, то не поможет.

 

теоретически и криптография не спасает, существует ненулевая вероятность угадать. точно так же эта вероятность существует и в tcp(угадать номера), да она больше, чем при использовании dnssec, но тоже близка к нулю

Там криптография на эллиптических кривых, уж не помню сколько там подпись, но даже 96 бит отгадать несколько затруднительно.

ipaddr.ru

ipaddr.ru

Posted
Posted

Кто-нибудь реализовал у себя сабж?

Попробовал подписать домен в зоне .ua (корень уже подписан). Валидаторы отвечают что все ок, кроме того что на сервере .ua нет DS-записи о домене (возможная причина в том, что в ua DS пока что вручную добавляется).

 

Вопрос в BIND'е. Создал KSK и ZSK домена, изменил в конфиге путь к файлу зоны на examle.com.signed. После этого зона успешно подписывается, но:

1. Если скопировать ds записи в оригинальную зону и заново ее подписать, ошибка:

 

dnssec-signzone: fatal: 'examle.com': found DS RRset without NS RRset.

 

Удаляю DS-ки - все ок, зона подписывается и обновляется.

Подписал зону на слейве - все-равно потом при наличии DS-записей не работает. Что я делаю не так?

 

Я реализовывал, у меня около десятка доменов в ru/su и столько же в com/net/org. DS-записей в подписываемой зоне (если это stub-зона) быть не должно. Судя по неизменившемуся количеству DS-записей в .ua, вы свои DS не опубликовали. Хотите - напишите мне в личку, помогу разобраться.

telefonshik

telefonshik

Posted
Posted

Разбираюсь, как настроить dnssec. Везде написано как настраивать Master DNS (генерация ключей и тд ),а про secondary DNS нигде не написано.

DNSSec для secondary DNS не нужно настраивать?

-Если не нужно то почему хотя бы в 2х словах.

-Если нужно то как? Где про это можно почитать?

Domainer

Domainer

Posted
Posted (edited)

Судя по неизменившемуся количеству DS-записей в .ua, вы свои DS не опубликовали

А где это можно проверять?

Наверное так и есть, потому что на сайте ICANN в разделе dnssec указано, что DS в .ua прописываются вручную. А Хостмастер пока ничего не ответил мне по этому поводу:)

Edited by Domainer
ipaddr.ru

ipaddr.ru

Posted
Posted

А где это можно проверять?

 

Для единичных доменов - запрос DS у auth NS для ua, ну или пока внедрение идёт медленно - kaa.ru/dnssec.

 

DNSSec для secondary DNS не нужно настраивать?

-Если не нужно то почему хотя бы в 2х словах.

-Если нужно то как? Где про это можно почитать?

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

telefonshik

telefonshik

Posted
Posted

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

 

А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

vop

vop

Posted
Posted

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

 

А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

 

Подписанная зона доверенным ключем будет корректна, по сути, независимо от источника ее получения. В этом случае остается только вопрос "протухшей" зоны.

ipaddr.ru

ipaddr.ru

Posted
Posted
А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

У секондари не должно быть ключей (закрытых их частей). Равно как не должно их быть и у праймери NS.

st_re

st_re

Posted
Posted

Это значит что вы отдаете www.ZONE.RU A 1.2.3.4 уже неделю как, а с секондари отдается старый www.ZONE.RU A 2.3.4.5, но он подписан вашим ключем и ему тоже верят.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.