1. Внедрили вы DNSSEC на свои резолверы?

[Aliech]

Вот в этой ветке форума есть темы про внедрение ipv6. И, кстати, я за него двумя руками, но тема не о том...

 

Захотел я потрогать DNSSEC, дабы пользоваться плагином к своему Firefox. То есть проверять валидность ответов, на случай подмены. И на тебе: резолвер провайдера явно не поддерживает данную технологию. Позвонил в ТП, а мне там, после двадцати минут ожидания, рассказали, что, видите ли, это совсем не надо! Ибо это не часть интернета, а лишняя приблуда! Вот тебе и защита пользователей от мошенничества.

 

Товарищи, может кто-то у себя уже внедрил? Неужто всем глубоко пофиг?

Изменено 19 ноября, 2012 пользователем Aliech

[ipaddr.ru]

В окружающем меня ccTLD подписано около 30% доменов. Разумеется, не пофиг.

 

Но странно как-то работает ваш плагин - dnssec-validator, насколько я помню, умеет сам ходить от рута или через trusted source. Ну а провайдеру стоило б обновить свой bind 4.4.

[Aliech]

В окружающем меня ccTLD подписано около 30% доменов. Разумеется, не пофиг.

 

Но странно как-то работает ваш плагин - dnssec-validator, насколько я помню, умеет сам ходить от рута или через trusted source. Ну а провайдеру стоило б обновить свой bind 4.4.

 

До плагина ещё не дошло даже, я drill'ом смотрел.

 

UPD: выглядит так, будто у них не прописан ключ для рута...

Изменено 18 ноября, 2012 пользователем Aliech

[rps]

Недавно tci начисто поломал зону .рф на несколько дней кривым её подписыванием. Так что есть мнение, что пока рано на хомячков включать.

Так что в голосовалке не хватает пункта "сознательно выключили".

Изменено 19 ноября, 2012 пользователем rps

[Aliech]

Добавил

 

Хотя тенденция уже заметна...

[ipaddr.ru]

Недавно tci начисто поломал зону .рф на несколько дней кривым её подписыванием. Так что есть мнение, что пока рано на хомячков включать.

Так что в голосовалке не хватает пункта "сознательно выключили".

А я чего-то не заметил. Неудивительно, конечно, никому нафиг не сдался .рф. Есть где-нибудь расследования?

[rps]

А я чего-то не заметил. Неудивительно, конечно, никому нафиг не сдался .рф.

У нас абоненты начали жаловаться на недоступность каких-то ресурсов в нем.

Я изучение проблемы не сохранил, но, емнип, они NSEC3 не выдавали для имён второго уровня.

[Domainer]

Кто-нибудь реализовал у себя сабж?

Попробовал подписать домен в зоне .ua (корень уже подписан). Валидаторы отвечают что все ок, кроме того что на сервере .ua нет DS-записи о домене (возможная причина в том, что в ua DS пока что вручную добавляется).

 

Вопрос в BIND'е. Создал KSK и ZSK домена, изменил в конфиге путь к файлу зоны на examle.com.signed. После этого зона успешно подписывается, но:

1. Если скопировать ds записи в оригинальную зону и заново ее подписать, ошибка:

 

dnssec-signzone: fatal: 'examle.com': found DS RRset without NS RRset.

 

Удаляю DS-ки - все ок, зона подписывается и обновляется.

Подписал зону на слейве - все-равно потом при наличии DS-записей не работает. Что я делаю не так?

[Ivan_83]

Тут дело не в защите пользователей а в контроле за интернетом со стороны держателей ключей рутовой зоны.

Пока наши долпаёпы играются с выборочной блокировкой на территории страны, умные люди тихо внедрили DNSEC и теперь могут выключать что хотят.

Пользователи могли бы защитится тупо перейдя на TCP, ещё там была фича с регистром букв в доменных именах запросов и ответов для расширения DNS msg ID в плане битности, опять же для избежания получения "ответов" от левых источников.

[Aliech]

Тут дело не в защите пользователей а в контроле за интернетом со стороны держателей ключей рутовой зоны.

Пока наши долпаёпы играются с выборочной блокировкой на территории страны, умные люди тихо внедрили DNSEC и теперь могут выключать что хотят.

Пользователи могли бы защитится тупо перейдя на TCP, ещё там была фича с регистром букв в доменных именах запросов и ответов для расширения DNS msg ID в плане битности, опять же для избежания получения "ответов" от левых источников.

 

А не бред ли?

а) кто сказал, что нельзя обрубить домен без DNSSEC?

б) кто сказал, что пользователя спасёт TCP?

[s.lobanov]

б) кто сказал, что пользователя спасёт TCP?

 

теоретически и криптография не спасает, существует ненулевая вероятность угадать. точно так же эта вероятность существует и в tcp(угадать номера), да она больше, чем при использовании dnssec, но тоже близка к нулю

[Ivan_83]

А не бред ли?

Время покажет.

 

а) кто сказал, что нельзя обрубить домен без DNSSEC?

Как вы собрались разом взять и выключить, например ru?

В DNSSEC на корневых серверах просто прекратят отдавать и всё.

Свои корневые можно поднять за 1 минуту, только клиенты с них будут ответы режектить, ибо они не подписаны, ибо закрытого ключа от рута не дали.

 

б) кто сказал, что пользователя спасёт TCP?

Смотря от чего.

Вот когда клиенту пытаются отравить кеш и льют постоянно левые ответы то очень спасёт.

А когда кто то захватил IP адрес где днс, то не поможет.

 

теоретически и криптография не спасает, существует ненулевая вероятность угадать. точно так же эта вероятность существует и в tcp(угадать номера), да она больше, чем при использовании dnssec, но тоже близка к нулю

Там криптография на эллиптических кривых, уж не помню сколько там подпись, но даже 96 бит отгадать несколько затруднительно.

[ipaddr.ru]

Кто-нибудь реализовал у себя сабж?

Попробовал подписать домен в зоне .ua (корень уже подписан). Валидаторы отвечают что все ок, кроме того что на сервере .ua нет DS-записи о домене (возможная причина в том, что в ua DS пока что вручную добавляется).

 

Вопрос в BIND'е. Создал KSK и ZSK домена, изменил в конфиге путь к файлу зоны на examle.com.signed. После этого зона успешно подписывается, но:

1. Если скопировать ds записи в оригинальную зону и заново ее подписать, ошибка:

 

dnssec-signzone: fatal: 'examle.com': found DS RRset without NS RRset.

 

Удаляю DS-ки - все ок, зона подписывается и обновляется.

Подписал зону на слейве - все-равно потом при наличии DS-записей не работает. Что я делаю не так?

 

Я реализовывал, у меня около десятка доменов в ru/su и столько же в com/net/org. DS-записей в подписываемой зоне (если это stub-зона) быть не должно. Судя по неизменившемуся количеству DS-записей в .ua, вы свои DS не опубликовали. Хотите - напишите мне в личку, помогу разобраться.

[telefonshik]

Разбираюсь, как настроить dnssec. Везде написано как настраивать Master DNS (генерация ключей и тд ),а про secondary DNS нигде не написано.

DNSSec для secondary DNS не нужно настраивать?

-Если не нужно то почему хотя бы в 2х словах.

-Если нужно то как? Где про это можно почитать?

[Domainer]

Судя по неизменившемуся количеству DS-записей в .ua, вы свои DS не опубликовали

А где это можно проверять?

Наверное так и есть, потому что на сайте ICANN в разделе dnssec указано, что DS в .ua прописываются вручную. А Хостмастер пока ничего не ответил мне по этому поводу:)

Изменено 21 октября, 2013 пользователем Domainer

[ipaddr.ru]

А где это можно проверять?

 

Для единичных доменов - запрос DS у auth NS для ua, ну или пока внедрение идёт медленно - kaa.ru/dnssec.

 

DNSSec для secondary DNS не нужно настраивать?

-Если не нужно то почему хотя бы в 2х словах.

-Если нужно то как? Где про это можно почитать?

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

[telefonshik]

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

 

А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

[vop]

Практически - не нужно. Ваша зона по AXFR/IXFR попадает на секондари и тот отдает уже подписанные ответы. Нужно лишь убедиться, что на секондари не стоит BIND4, что секондари не позволяет рекурсию для всего мира и всё такое обще-безопасное :)

 

А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

 

Подписанная зона доверенным ключем будет корректна, по сути, независимо от источника ее получения. В этом случае остается только вопрос "протухшей" зоны.

[ipaddr.ru]

А если бесплатными ,чужими secondary DNS пользоваться, то зона будет скомпрометирована или нет?

У секондари не должно быть ключей (закрытых их частей). Равно как не должно их быть и у праймери NS.

[telefonshik]

В этом случае остается только вопрос "протухшей" зоны.

 

А протухшая зона что означает?

[st_re]

Это значит что вы отдаете www.ZONE.RU A 1.2.3.4 уже неделю как, а с секондари отдается старый www.ZONE.RU A 2.3.4.5, но он подписан вашим ключем и ему тоже верят.