DNS-Konfiguration und Datendateien Neben dem in. named-Daemon besteht DNS auf einem Nameserver aus einer Bootdatei namens named. conf. Eine Resolver-Datei mit dem Namen resolv. conf. Und vier Arten von Zonendateien. Namen von DNS-Datendateien Solange Sie intern konsistent sind, können Sie die Zonendatendateien beliebig benennen. Diese Flexibilität kann zu einigen Verwirrung bei der Arbeit an verschiedenen Standorten oder Bezugnahme auf verschiedene DNS-Handbücher und Bücher führen. Beispielsweise variieren die Dateinamen, die in den Sun-Handbüchern und den meisten Solaris-Websites verwendet werden, von denen, die im Buch DNS und BIND von Albitz und Liu, OReilly amp Associates, 1992 verwendet wurden, und diese beiden Nomenklaturen haben einige Unterschiede Public-Domain Name Server Operations Guide für BIND. Universität von Kalifornien. Darüber hinaus enthält dieses Handbuch und andere DNS-Dokumentation generische Namen, die eine Datei Hauptzweck kennzeichnen, und spezifische Beispielnamen für diese Datei in Codeaufzeichnungsproben. Beispielsweise verwenden Solaris Naming-Handbücher die generischen Namen-Hosts, wenn sie die Funktion und die Rolle dieser Datei beschreiben und die Beispielbezeichnungen db. doc und db. sales. doc in Codebeispielen. Tabelle 28-2 vergleicht BIND-Dateinamen aus diesen drei Quellen: Tabelle 28-2 BIND-Dateinamen Beispiele Die named. conf-Datei BIND 8.1 fügt eine neue Konfigurationsdatei, etcnamed. conf, hinzu. Das die etcnamed. boot-Datei ersetzt. Die Datei etcnamed. conf legt den Server als primären, sekundären oder nur Cache-only-Nameserver fest. Es legt auch die Zonen fest, über die der Server verfügt und welche Datendateien gelesen werden sollen, um seine Anfangsdaten zu erhalten. Die Datei etcnamed. conf enthält Anweisungen, die Folgendes implementieren: Sicherheit durch eine Zugriffssteuerungsliste (ACL), die eine Sammlung von IP-Adressen definiert, die ein NIS-Host Lesezugriff hat. Selektiv angewendete Optionen für einen Satz von Zonen und nicht für alle Zonen. Die Konfigurationsdatei wird von in. named gelesen, wenn der Daemon vom Start-Script des Servers, etcinit. dinetsvc, gestartet wird. Die Konfigurationsdatei leitet in. named entweder auf andere Server oder auf lokale Datendateien für eine angegebene Domäne.) Named. conf Statements Die named. conf-Datei enthält Anweisungen und Kommentare. Anweisungen enden mit einem Semikolon. Einige Anweisungen können enthalten einen Satz von Anweisungen enthalten. Wieder wird jede Anweisung im Block mit einem Semikolon beendet. Die named. conf-Datei unterstützt die folgenden Anweisungen: Tabelle 28-3 named. conf Statements Definiert eine benannte IP-Adressen-Matchliste, die für die Zugriffskontrolle verwendet wird. Die Adressen-Match-Liste bezeichnet eine oder mehrere IP-Adressen (punktierte Dezimalstellen) oder IP-Präfixe (gepunktete Dezimalschreibweise, gefolgt von einem Schrägstrich und der Anzahl der Bits in der Netzmaske). Die angegebene IP-Adressen-Matchliste muss durch eine acl-Anweisung definiert werden, bevor sie an anderer Stelle verwendet werden kann, wenn keine Vorwärtsreferenzen erlaubt sind. Fügt eine Include-Datei an dem Punkt ein, an dem die Include-Anweisung angetroffen wird. Verwenden Sie zum Aufteilen der Konfiguration in leichter verwaltete Stücke. Gibt eine Schlüssel-ID an, die für die Authentifizierung und Autorisierung auf einem bestimmten Nameserver verwendet wird. Siehe Server-Anweisung. Gibt die Informationen der Serverprotokolle und des Ziels der Protokollnachrichten an. Steuert globale Serverkonfigurationsoptionen und setzt Standardwerte für andere Anweisungen. Setzt festgelegte Konfigurationsoptionen, die mit einem entfernten Nameserver verknüpft sind. Selektiv wendet Optionen auf einer pro-Server-Basis, anstatt auf alle Server. Definiert eine Zone. Wählt selektiv Optionen auf einer Zone pro Zone und nicht in allen Zonen an. Beispiel 28-1 Beispiel Master-Konfigurationsdatei für eine Primärserver-Migration von BIND 4.9.x zu BIND 8.1.x Werden Sie Superuser und führen Sie das Korn-Shell-Skript usrbinnamed-bootconf aus. Um eine BIND 4.9.x named. boot-Datei in eine BIND 8.1.x named. conf-Datei zu konvertieren. Siehe named-bootconf (1M). In Solaris 7 wird der named. boot ignoriert. Die named. ca-Datei Die named. ca-Datei legt die Namen der Root-Server fest und listet ihre Adressen auf. Wenn Ihr Netzwerk mit dem Internet verbunden ist, gibt named. ca ansonsten die Internetnameserver an, es listet die Root-Domainnamenserver für Ihr lokales Netzwerk auf. Der in. named-Daemon durchläuft die Liste der Server, bis er einen von ihnen kontaktiert. Es erhält dann von diesem Server die aktuelle Liste der Root-Server, die es nutzt, um named. ca zu aktualisieren. Die Host-Datei Die Datei hosts enthält alle Daten über die Maschinen in der lokalen Zone. Der Name dieser Datei wird in der Startdatei angegeben. Um Verwechslungen mit Etchosts zu vermeiden. Benennen Sie die Datei etwas anderes als Hosts. Zum Beispiel könnten Sie diese Dateien mit dem Muster db benennen. Domain. Unter Verwendung dieser Nomenklatur können die Host-Dateien für die doc - und sales. doc-Domänen db. doc und db. sales sein. Die Datei hosts. rev Die Datei hosts. rev gibt eine Zone in der Datei inaddr. arpa an. Domäne, die spezielle Domäne, die umgekehrte (Address-to-Name) Zuordnung ermöglicht. Der Name dieser Datei wird in der Startdatei angegeben. Die named. local-Datei Die named. local-Datei gibt die Adresse für die lokale Loopback-Schnittstelle oder localhost mit der Netzwerkadresse 127.0.0.1 an. Der Name dieser Datei wird in der Startdatei angegeben. Wie andere Dateien können Sie einen anderen Namen als den in diesem Handbuch verwendeten Namen angeben. INCLUDE-Dateien Eine Include-Datei ist eine Datei, die in einer INCLUDE () - Anweisung in einer DNS-Datendatei benannt ist. INCLUDE-Dateien können verwendet werden, um verschiedene Arten von Daten in mehrere Dateien für Ihre Bequemlichkeit zu trennen. Nehmen Sie zum Beispiel an, dass eine Datendatei folgende Zeile enthält: Diese Zeile bewirkt, dass die Datei "etcnameddatamailboxes" an diesem Punkt geladen wird. In diesem Fall ist etcnameddatamailboxes eine INCLUDE-Datei. Die Verwendung von INCLUDE-Dateien ist optional. Sie können so viele wie Sie wollen, oder gar keine. Zurück. Wie DNS die E-Mail-Zustellung auswirkt. Data File Resource Record FormatPreparing für DNSSEC: Best Practices, Empfehlungen und Tipps für eine erfolgreiche Implementierung Dieses Whitepaper bietet ein allgemeines Verständnis der DNSSEC und bietet beste Praktiken und Ratschläge für die Implementierung von DNSSEC in einer Netzwerkinfrastruktur. Das Dokument ist in folgende Abschnitte unterteilt: Grundlegendes zu DNS Grundlegendes zu DNSSEC Vorbereiten des Netzwerks Vorbereiten der DNS-Infrastruktur Fehlerbehebung DNSSEC Referenzen und Ressourcen Das Domain Name System verstehen Was ist das Domain Name System Das DNS ist ein global verteiltes, skalierbares, Hierarchische und dynamische Datenbank, die eine Zuordnung für Hostnamen, IP-Adressen (sowohl IPv4 als auch IPv6), Textdatensätze, Mailaustauschinformationen (MX-Datensätze), Nameserverinformationen (NS-Datensätze) und Sicherheitsschlüsselinformationen in Resource Records (RRs ). Die in RRs definierten Informationen werden in Zonen gruppiert und lokal auf einem DNS-Server gehostet, der über die verteilte DNS-Architektur global abgerufen werden soll. DNS kann entweder das UDP (User Datagram Protocol) oder das Transmission Control Protocol (TCP) verwenden, verwendet es einen Zielport von 53. Wenn das DNS-Protokoll UDP als Transport verwendet, hat es die Möglichkeit, mit UDP-Weiterverbreitung und - sequenzierung umzugehen. DNS besteht aus einem hierarchischen Domänennamenraum, der eine baumartige Datenstruktur von verknüpften Domänennamen (Knoten) enthält. Der Domänennamensraum verwendet Resource Records (RRs), die Informationen über die Domäne speichern. Die baumartige Datenstruktur für den Domänennamensraum beginnt in der Wurzelzone quot. quot, die die oberste Stufe der DNS-Hierarchie ist. Obwohl es normalerweise nicht in Benutzeranwendungen angezeigt wird, wird der DNS-Stamm als ein nachlaufender Punkt in einem vollqualifizierten Domänennamen (FQDN) dargestellt. Beispielsweise repräsentiert der am weitesten rechts liegende Punkt in quotcisco. quot die Wurzelzone. Aus der Root-Zone wird dann die DNS-Hierarchie (Tree) in Subdomain-Zonen (Filialen) aufgeteilt. Jeder Domänenname besteht aus einem oder mehreren Etiketten. Etiketten werden durch ein Zeichen "quot" getrennt und können maximal 63 Zeichen enthalten. Ein FQDN darf maximal 255 Zeichen enthalten, einschließlich des Zeichenquadrats. Labels werden von rechts nach links konstruiert, wobei das Label ganz rechts die Top-Level-Domain (TLD) für den Domain-Namen ist. Das folgende Beispiel zeigt, wie die TLD für einen Domain-Namen zu identifizieren: quot com ist die TLD für Cisco, weil es das Label, das am weitesten rechts ist DNS-Terminologie Um die DNS und die DNS-spezifischen Empfehlungen in diesem Dokument zu verstehen, die Betreiber Und Administratoren sollten mit den folgenden Begriffen vertraut sein: Resolver: Ein DNS-Client, der DNS-Nachrichten sendet, um Informationen über den angeforderten Domänennamensraum zu erhalten. Rekursion: Die Aktion, die ausgeführt wird, wenn ein DNS-Server im Auftrag eines DNS-Resolvers abgefragt wird. Autorisierter Server: Ein DNS-Server, der auf Abfragemeldungen mit in Resource Records (RR) gespeicherten Informationen für einen auf dem Server gespeicherten Domänennamensraum antwortet. Rekursiver Resolver: Ein DNS-Server, der rekursiv die in der DNS-Abfrage angeforderten Informationen abfragt. FQDN: Ein vollständig qualifizierter Domänenname ist der absolute Name eines Geräts in der verteilten DNS-Datenbank. Resource Record: Ein Resource Record (RR) ist ein Format, das in DNS-Nachrichten verwendet wird, die aus den folgenden Feldern besteht: NAME, TYPE, CLASS, TTL, RDLENGTH und RDATA. Domäne: Ein Domänenname und alle darunter liegenden Domänennamen, Subdomänen, dh alle Domänennamen, die mit dem Domänennamen enden. Domänen werden von einem Nameserver zu einem anderen delegiert. Zone: Eine Datenbank, die Informationen über den Domänennamensraum enthält, der auf einem autoritativen Server gespeichert ist. Eine Zone ist die gleiche wie eine Domäne minus alle delegierten Domänen. Resource Record Set: Alle Ressourceneinträge mit demselben NAME, TYPE und CLASS, die RDATA ist jedoch unterschiedlich. Eine Antwort von DNS ist immer ein kompletter Resource Record Set (oder kurz RRSet). Ein Beispiel für ein RRSet wäre mehrere NS-Datensätze für eine entsprechende Zone oder Domäne. Delegation Signer (DS): Der DS RR ist ein DNSSEC-Datensatztyp, der verwendet wird, um eine Delegierung für eine Zone zu sichern. Zone Signing Key (ZSK): Dies wird verwendet, um alle RRSets in einer Zone zu signieren. Key Signing Key (KSK): Hiermit wird nur das DNSKEY RRSet signiert. DNSKEY Resource Record: Diese DNSSEC RR wird verwendet, um die öffentlichen Schlüssel zu speichern, die zum Signieren der Datensätze für eine Zone verwendet werden. Diese RR kann entweder eine ZSK oder eine KSK enthalten. EDNS: Erweiterung Mechanismen für DNS (EDNS, wie in RFC 2671 definiert) ist eine IETF-Spezifikation geschrieben, um DNS-Nachrichtengröße Beschränkungen zu entfernen, die anfänglich auferlegt werden (RFC 1035 Abschnitt 2.3.4 Größenbeschränkungen) auf dem DNS-Protokoll. EDNS ermöglicht es Clients, ihre Fähigkeiten auf DNS-Servern zu werben, und eine dieser Funktionen, die mit DNSSEC zusammenhängt, ist die Möglichkeit, dass ein Client seinen Wiederzusammensetzungspuffer auf einem DNS-Server ankündigt, beispielsweise kann ein DNS-Client eine über UDP gesendete DNS-Nachricht wieder zusammenbauen Die größer (2000 Byte) als die Legacy-Grenze von 512 Byte ist. DNSSEC OK (DO) EDNS-Header-Bit: Dies ist ein Bit im EDNS-Header, der bei der Einstellung auf 1 (quot1quot) in einer DNSSEC-aktivierten Abfragemitteilung dem Server, der vom Resolver angefordert wird und in der Lage ist, DNSSEC-RRS zu akzeptieren, anzeigt Die Abfrageantwort-Nachricht. Primäre Funktion von DNS DNS übersetzt Hostnamen in IP-Adressen oder IP-Adressen in Hostnamen. Dieser Übersetzungsvorgang wird durch einen DNS-Resolver (dies kann eine Client-Anwendung wie ein Webbrowser oder ein E-Mail-Client oder eine DNS-Anwendung wie BIND) sein, die eine DNS-Abfrage an einen DNS-Server sendet und die in Ein RR. Einige Beispiele des DNS-Lösungsprozesses folgen: Wenn der DNS-Server nur als autorisierender Server konfiguriert ist und eine DNS-Abfrage-Nachricht empfängt, die nach Informationen fragt, die der Server autorisiert hat, überprüft der DNS-Server lokal gespeicherte RR-Informationen und gibt den Wert zurück Des Datensatzes im Antwortabschnitt einer DNS-Antwortnachricht. Wenn die angeforderten Informationen für die DNS-Abfrage-Nachricht nicht vorhanden sind, antwortet der DNS-Server mit einer DNS-Antwortnachricht NXDOMAIN (Nicht-Existente Domäne) oder einer DNS-Empfehlungsantwort-Nachricht. Wenn der DNS-Server maßgeblich ist und nicht als rekursiver Resolver konfiguriert ist und eine DNS-Abfrage-Nachricht empfängt, die nach Informationen fragt, für die der Server nicht autoritativ ist, wird der Server eine DNS-Antwortnachricht mit RRs im Berechtigungsabschnitt ausgeben. Die Adressenabbildung für den FQDN aus diesem Abschnitt kann im zusätzlichen Abschnitt vorhanden sein. Dies informiert den DNS-Resolver, wo Abfragen zu senden, um maßgebliche Informationen für die Frage in der DNS-Abfrage zu erhalten. Diese Bedingung tritt aufgrund der DNS-Zone Delegierung auf. Die oben beschriebene DNS-Antwortnachricht wird auch als DNS-Empfehlungsantwortnachricht bezeichnet. Wenn der DNS-Server nicht autoritativ ist, aber als rekursiver Resolver konfiguriert ist, empfängt er eine DNS-Abfrage, die nach Informationen fragt (vorausgesetzt, die Abfrage fordert Rekursion an, dh, wenn das RD-Flag gesetzt ist), wird sie von der Abfrageanforderung verursacht Rekursive Abfrage (iterative Abfragen) der DNS-Architektur für den autorisierenden DNS-Server der in der DNS-Anfrage enthaltenen Informationen. Sobald der rekursive DNS-Resolver diese Informationen erhalten hat, wird er die Informationen zu dem ursprünglichen DNS-Resolver unter Verwendung einer DNS-Antwortnachricht bereitstellen, und der RR wird nicht autoritativ sein (da der rekursive DNS-Resolver für die angeforderten Informationen nicht autoritativ ist). Der rekursive DNS-Resolver kann auch Kenntnisse über die angeforderten Informationen im DNS-Cache gespeichert haben. Wenn die angeforderten Informationen im DNS-Cache vorhanden sind, dann reagiert der rekursive DNS-Resolver mit diesen RR-Informationen. Eine Zusammenfassung der drei Beispiele folgt: Eine DNS-Abfrage kommt am Server an. Wenn der Server die DNS-Daten entweder als autoritär oder im Cache hat, antwortet der Server mit den Daten. Wenn der Server nicht über die DNS-Daten verfügt, eine der folgenden Aktionen Wird stattfinden: Wenn der Server für die DNS-Rekursion konfiguriert ist und die Abfrage das RD-Flag gesetzt hat, wird der Server selbst andere DNS-Server abfragen, seinen Cache füllen und dann wie oben beschrieben reagieren. Wenn der Server nicht für die DNS-Rekursion konfiguriert ist oder die Abfrage nicht über den RD-Flag gesetzt ist, antwortet der Server mit einer DNS-Überweisung, dh Informationen über DNS-Server, die eine bessere Antwort im autorisierenden Abschnitt haben könnten. Ein DNS-Server reagiert möglicherweise mit quotno solche Daten existsquot, wenn Daten für die betreffende DNS-Abfrage nicht vorhanden sind. Ein DNS-Server reagiert möglicherweise mit einem Fehlercode, zum Beispiel wenn der Server falsch konfiguriert ist. Weitere Informationen finden Sie in DNS-Best Practices, Netzwerkschutz und Angriffsidentifikation. Das Verständnis DNSSEC DNSSEC ergänzt die hierarchische Natur des DNS mit kryptografischen Merkmalen, die es ermöglichen, die Echtheit der im DNS gespeicherten Informationen zu überprüfen. Diese Validierung macht es möglich, dass Resolver sichergestellt werden, dass, wenn sie eine bestimmte Information von dem DNS anfordern, dass sie tatsächlich die korrekten Informationen erhalten, wie sie von der autorisierenden Quelle veröffentlicht werden. Diese Sicherheit wird durch die Verwendung kryptografischer Signaturen ermöglicht, die von einer Quell-Organisation im DNS enthalten sind. Diese Signaturen werden auf einem kompletten Resource Record Set, nicht einzelnen Resource Records, berechnet. Die Signaturen werden in einem DNSSEC-spezifischen Ressourceneintragstyp namens RRSIG veröffentlicht. Wenn Sie zum Beispiel die erforderliche Infrastruktur deaktivieren und die Signatur für einen A-Eintrag veröffentlichen, ermöglicht die Quellorganisation dem Resolver im Internet, zu überprüfen, ob der A-Datensatz authentische Daten enthält und korrekt ist, wie veröffentlicht. Ein DNS-Server zeichnet nur signierte Daten auf, für die er maßgeblich ist. Der DNS-Server zeichnet beispielsweise keine NS-Datensätze, die Subdomains aus seiner Zone delegieren. Ein Clientcomputer mit einem eingebetteten Stub-Resolver setzt das DNSSEC OK (DO) - Bit auf 1 in ausgehenden Abfragen, wenn es DNSSEC verwenden möchte, um die Authentizität von DNS-Informationen zu überprüfen. Wenn ein DNSSEC-aktivierter DNS-Server eine Abfrage mit DO1 empfängt, verwendet er lokal gespeicherte oder empfangene RRSIG-Datensätze, um die Authentizität der DNS-Informationen kryptographisch zu überprüfen. Das Überprüfungsergebnis wird dem Stub-Resolver über das Bit der authentifizierten Daten (AD) in der DNS-Antwort mitgeteilt, wobei AD1 anzeigt, dass die DNS-Daten authentisch sind und AD0 anzeigt, dass die DNSSEC-Überprüfung fehlgeschlagen ist. Unterschied zwischen DNS und DNSSEC DNS und DNSSEC sind aus Netzwerksicht sehr ähnlich. DNSSEC erfordert einen erweiterten Satz von DNS-Funktionen, und während DNS möglicherweise ohne sie gearbeitet haben, wird DNSSEC nicht. Zum Beispiel sind DNSSEC-Nachrichtengrößen größer als DNS-Nachrichten ohne DNSSEC, und das wird mit Hilfe der EDNS verwaltet. Dies ist einfach das Ergebnis zusätzlicher Informationen, die in den DNS-Antworten enthalten sind. Ohne DNSSEC sind DNS-Pakete typischerweise weniger als 512 Bytes lang. Bei DNSSEC werden viele DNS-Pakete 512 Bytes überschreiten und sich 4096 Byte nähern. Darüber hinaus müssen End-to-End-EDNS unterstützt werden, um die DO, AD und andere DNSSEC-spezifische Header-Flags zu tragen. Aufgrund der erhöhten Paketgröße kann DNS mit DNSSEC TCP öfter verwenden als DNS ohne DNSSEC. Potenzielle Netzwerk-Herausforderungen mit DNSSEC-Deployment Die netzwerkspezifischen Herausforderungen von DNSSEC sind weitgehend das Ergebnis der zuvor erwähnten Unterschiede: erhöhte Paketgrößen, EDNS-Anforderungen und die häufigere Nutzung von TCP. Viele Firewall-Geräte beschränken DNS-Antworten falsch auf 512 und verhindern DNS über TCP. Diese Herausforderungen und potenziellen Abhilfemaßnahmen werden im nächsten Abschnitt dieses Dokuments beschrieben. Vorbereiten des Netzwerks Dieser Abschnitt fasst einige der Probleme zusammen, die auftreten können, wenn DNSSEC-Pakete über Netzwerkgeräte gesendet werden und wie diese Probleme behandelt werden können, bevor DNSSEC-Datenverkehr das Netzwerk durchsucht. Diese Lösungen umfassen die folgenden: Konnektivität über UDP und TCP-Port 53 IP-Fragmentierung und TCP-Segmentierung Prüfung großer DNS-Pakete Netzwerkadressübersetzung über UDP und TCP-Port 53 Weil die meisten DNS-Datenverkehr über UDP-Port 53 gesendet werden, Auf dem Netzwerk ist unwahrscheinlich, dass es Auswirkungen auf zukünftigen nativen DNS-Verkehr, der den UDP-Anschluss 53 durchquert, beeinflusst. Wenn jedoch DNS-Verkehr derzeit nicht zulässig ist, den TCP-Port 53 zu durchlaufen, der typischerweise für große DNS-Pakete verwendet wird (das heißt, jene, die größer als 512 Bytes sind) ) Werden alle Probleme mit DNS-Datenverkehr über TCP-Port 53 verschärft, wenn DNSSEC-Pakete im Netzwerk ankommen, da viele DNSSEC-Pakete aufgrund des zusätzlichen Paket-Overheads von DNSSEC größer als 512 Bytes sind. Wenn der Verkehr unter Verwendung des TCP-Anschlusses 53 derzeit nicht zugelassen ist oder von bestimmten Hosts oder Netzwerken gefiltert wird, kann es erforderlich sein, neue Hosts und Netzwerke zu berücksichtigen, die DNSSEC-Datenverkehr über TCP-Port 53 senden können Beispiel: 192.168.60.024 ist der IP-Adressraum, der von vertrauenswürdigen DNS-Servern verwendet wird, und 192.0.2.024 ist der IP-Adressraum, der von internen Hosts verwendet wird, die DNS-Abfragen senden. Abbildung 1. Cisco IOS-Software ACL Beispiel IP-Fragmentierung und TCP-Segmentierung Das Vorhandensein größerer IP-Pakete, wie sie bei der Verwendung von DNS (hauptsächlich aufgrund von Zonenübertragungen, EDNS und DNSSEC) gefunden werden, führt zu einer Erhöhung der Wahrscheinlichkeit, dass eine große Paket, das DNS-Informationen enthält, die maximale Übertragungseinheit (MTU) an irgendeinem Punkt im Transit überschreitet. In Fällen, in denen das Paket die konfigurierte MTU einer Schicht-3-Schnittstelle übersteigt, erfordert das Paket eine Fragmentierung. In bestimmten Fällen kann jedoch die Paketkonfiguration (z. B. wenn das Df-Fragment (DF) - Bit gesetzt (1) ist) oder die Netzwerkkonfiguration (zum Beispiel werden ICMP-Meldungen, die anzeigen, dass Pakete fragmentiert werden müssen, nicht von dem Ursprungspunkt empfangen werden Host) die Übertragung eines fragmentierten Pakets nicht zulassen. Aus diesem Grund ist es notwendig, die zulässigen MTU-Größen durch die Verwendung von Features wie Path MTU Discovery (PMTUD) zu berücksichtigen, um sicherzustellen, dass große DNS-Pakete nicht verworfen oder anschließend fallengelassen werden, wenn sie die auf einer Schicht 3 konfigurierte MTU-Größe überschreiten Schnittstelle. Ähnlich wie bei den großen Paketen, die von IP-Fragmentierungsproblemen betroffen sind, können große DNS-Pakete, die das TCP-Protokoll (das heißt 53tcp) verwenden, aufgrund von TCP-Segmentierung auf Probleme stoßen, die sichergestellt werden müssen, dass große TCP-basierte Pakete nicht verworfen werden . Weitere Informationen zur TCP-Segmentierung finden Sie unter Referenz auf IP-Fragmentierung, MTU, MSS und PMTUD Probleme mit GRE und IPSEC auflösen. Weitere Informationen zu Zugriffssteuerungslisten und IP-Fragmenten finden Sie unter Zugriffssteuerungslisten und IP-Fragmente. Inspektion von großen DNS-Paketen über Firewalls oder Application Layer Gateways Geräte, die Application Layer Inspection (ALI) ausführen, können große DNS-Pakete (größer als 512 Byte) zurückweisen. Cisco ASA - und PIX-Firewallprodukte mit vordefinierten 8.3-Codeversionen, die mit der Standard-DNS-Prüfrichtlinie konfiguriert sind, erlauben nur DNS-Pakete bis zu 512 Byte. Diese Meldungslängenbegrenzung ist möglicherweise nicht groß genug für interne Organisationen einer Organisation oder für Server-Werbenetzwerke, die DNSSEC-Ressourceneinträge empfangen und validieren sollen. Basierend auf internen Tests, die von Cisco Security Research amp Operations (SRO) durchgeführt werden, empfehlen wir, eine Nachrichtenlänge von 4096 Bytes zu verwenden. Keine legitimen DNSSEC-Pakete sollten größer als 4096 Bytes sein. Die Cisco ASA-Softwareversion 8.2.2 oder höher kann die in Abbildung 2 dargestellte Konfiguration verwenden, um die Probleme zu lindern, die durch Pakete verursacht werden, die größer als das Standardmaximum von 512 Byte sind. Abbildung 2. Cisco ASA-Software Version 8.2.2 Konfiguration der Netzwerkadresse Alle DNSSEC-Konfigurationen, die die NAT (Network Address Translation) verwenden, wurden geprüft (Static 1-to-1 NAT, PAT, Identity NAT usw.) und erfolgreich ausgeführt (Mit Ausnahme von NAT und Paketen, die eine TCP-Segmentierung erfordern, die getestet wurden und Probleme hatten, die im nächsten Absatz beschrieben werden). Kunden mit NAT, die auf einem Cisco IOS-Gerät konfiguriert sind, können Probleme mit hohen DNS-Abfrageantwortnachrichten erleiden, wenn TCP als Transport verwendet wird. Cisco IOS NAT hat keine Unterstützung für die Wiederherstellung von TCP-Segmenten. Die fehlende Unterstützung für TCP-Segment Reaasembly ist ein bekanntes Problem, das unter der Frage Q dokumentiert ist. Was ist der Unterschied zwischen IP-Fragmentierung und TCP-Segmentierung unter dem folgenden Link: ciscoenUStechtk648tk361technologiesqandaitem09186a00800e523b. shtml. Vorbereiten der DNS-Infrastruktur Die DNS-Infrastruktur für die meisten Organisationen ist umfangreich und wird oft als kompliziert interpretiert, da ein allgemeiner Mangel an DNS-Verständnis besteht. Es ist wichtig, Ihre Infrastruktur zu verstehen, wenn Sie sich auf DNSSEC vorbereiten. DNS-Infrastrukturen laufen häufig ohne Intervention und mit wenig Wissen von den meisten Netzwerkbenutzern. Das Aufkommen von DNSSEC hat viele Organisationen dazu gezwungen, ihre DNS-Infrastruktur zu lernen, zu verstehen und zu beurteilen, um eine skalierbare Infrastruktur aufzubauen, die der jeweiligen Umgebung entspricht. Da die meisten Organisationen ihre eigenen DNS-Server und Infrastrukturgeräte für ihre Domänen verwalten und verwalten, ist DNS im globalen Maßstab eine verteilte Datenbank. Als Administrator oder Ingenieur gibt es zwei Möglichkeiten für Organisationen, die einen Domänennamen registrieren möchten. Hosten Sie Ihre eigenen DNS-Server Installieren Sie ein Hosting-Unternehmen, um Ihre DNS-Server zu hosten Hinweis. Diese Optionen sind für einen Second-Level-Domänennamen, z. B. Cisco. Wo ist die Top Level Domain (TLD). Diese beiden Optionen sind entscheidend für das Verständnis der Perspektive der Vorbereitung einer DNS-Infrastruktur. Dieses Dokument setzt voraus, dass eine Organisation ihre eigenen DNS-Server hostet. Das Vorbereiten einer DNS-Infrastruktur für DNSSEC erfordert die Voraussetzung und die Ausführung der folgenden wesentlichen Komponenten: Sicherstellen, dass DNS-Resolver DNSSEC-fähig sind Überprüfen Sie, dass die vorhandene DNS-Infrastruktur erhöhte Speicher - und Speicheranforderungen unterstützen kann, da DNSSEC neue RRs, nämlich DNSKEY (den verwendeten DNS - Um die Signaturen zu verifizieren), RRSIG (die Ressource-Signatur-Signatur, die zum Speichern der digitalen Signaturen verwendet wird), DS (der Delegierungsunterzeichner, der einen Hash des öffentlichen DNSKEY speichert) und NSEC (der nächste Datensatz-Pointer, der ebenfalls zum Proof verwendet wird Des Nichtvorhandenseins einer RR). Der Zusatz dieser RRs erhöht die Größe der Zonendateien. Die erhöhte Größe erfordert DNS-Resolver und andere Geräte, um die Rechenkapazität zur Verarbeitung und Speicherung der DNSSEC-Dateien und Daten zu gewährleisten. Außerdem wird empfohlen, die Vorteile von DNS-Resolvern zu nutzen, die für die Validierung der signierten Antworten konfiguriert sind. DNSSEC bietet signierte Antworten, die bis zu siebenmal so groß sein können wie herkömmliche DNS-Antworten, die typischerweise auf maximal 512 Byte beschränkt sind. Diese größeren und erhöhten maximalen Nutzlast-DNS-Antworten werden oft als EDNS (Erweiterungsmechanismen für DNS - RFC 2671) bezeichnet. Hinweis: Alle Versionen von BIND 9 von ISC, Inc. und Nameserver Daemon (NSD) von NLnet Labs sind DNSSEC-fähig. Überprüfen, ob Infrastrukturgeräte DNSSEC-fähig und fähig sind DNSSEC-Bewusstsein und die Fähigkeit von Infrastrukturgeräten erfordern, dass Netzwerk - und Infrastrukturgeräte keine EDNS-Pakete löschen oder filtern. Da die meisten DNS-fähigen Netzwerkgeräte die DNS-Antworten und Abfragen auf UDP-Pakete beschränken, die nicht größer als 512 Bytes sind (mit Ausnahme der Zonenübertragungen, die größer sind und das TCP-Protokoll nutzen), ist es entscheidend, dass diese Geräte verwendet werden können Konfiguriert, um größere Pakete (ähnlich wie die Cisco ASA und PIX Plattformen) zu ermöglichen, oder zumindest die Paketgröße ignorieren können. Hinweis . Das Ignorieren der DNS-Paketgröße wird jedoch nicht empfohlen, es kann jedoch die einzige Möglichkeit sein, den DNSSEC-Datenverkehr zuzulassen. Die Cisco ASA - und Cisco PIX-Plattformen behandeln traditionellen DNS-Datenverkehr in der standardmäßigen DNS-Prüfmaschine, die standardmäßig in der Standardprüfregel "class inspectiondefault" aktiviert ist. Die Cisco ASA - und Cisco PIX-DNS-Prüfung: Übersetzt den DNS-Datensatz auf der Grundlage der mit dem Alias abgeschlossenen Konfiguration. Statisch Und nat-Befehle (DNS Rewrite). Die Übersetzung gilt nur für den A-Datensatz in der DNS-Antwort, daher hat DNS Rewrite keine Reverse-Lookups, die den PTR-Datensatz anfordern. Erzwingt die maximale DNS-Nachrichtenlänge (der Standardwert ist 512 Byte und die maximale Länge ist 65535 Byte). Der Cisco ASA führt die Wiederzusammensetzung nach Bedarf durch, um zu überprüfen, dass die Paketlänge kleiner als die maximal konfigurierte Länge ist und fällt jedes Paket, das die maximale Länge überschreitet. Erzwingt eine Domain-Namenlänge von 255 Byte und eine Label-Länge von 63 Byte. Überprüft die Integrität des Domänennamens, auf den sich der Zeiger bezieht, wenn Komprimierungszeiger in der DNS-Nachricht aufgetreten sind. Überprüft, ob eine Komprimierungszeiger-Schleife vorhanden ist. Weitere Informationen zur DNS-Prüfung finden Sie im Cisco ASA 5500 Series Configuration Guide. Die ASAPIX-Plattformen sind DNSSEC-bewusst, da sie verstehen, was ein EDNS-Paket ist und wie man die DNS-Queryresponse-Nachrichtenlänge, die im EDNS-Paket bereitgestellt wird, speziell den OPT-Datensatz, richtig interpretiert. Standardmäßig verwenden die Cisco ASA - und Cisco PIX-Plattformen die werksseitig voreingestellte Konfiguration, die eine Standard-DNS-Nachrichtenlänge von maximal 512 Byte angibt, wie in Abbildung 5 dargestellt. Abbildung 5. Cisco ASA und Cisco PIX Factory Pre-Set Konfiguration Die in Abbildung 8 dargestellte Konfiguration überprüft alle DNSSEC-Pakete entsprechend dem automatischen Konfigurationsbefehl für die maximale Länge der Nachrichtenlänge, der, wie bereits erwähnt, die Länge der DNSSEC-Nachrichtenlänge entsprechend der im EDNS-Paket beworbenen Größe festlegt . Alle Nicht-DNSSEC-DNS-Pakete werden weiterhin die vom maximalen Befehl lt512gt festgelegte Paketgröße beibehalten, abhängig von der angegebenen Größe. Überprüfen der Bandbreitenverteilung für DNSSEC Wie bei den Anforderungen zur Unterstützung der Rechenkapazitäten von DNSSEC erfordert eine Unternehmensinfrastruktur (einschließlich Router, Switches, Gateways, VPN-Lösungen und vieles mehr) die Bandbreitenfähigkeit, um die erhöhte Auslastung des DNS - EDNS) zusammen mit mehr Anfragen und größere Antworten. Umgebungen, die hochvolumigen DNS-Verkehr verarbeiten, müssen zuverlässige Durchsatzlösungen für die Infrastrukturgeräte vorbereiten und entwickeln. Die Vorbereitungen reichen von Standard Layer 2 und Layer 3-Lösungen wie Gigabit plus Speed Links zur Berücksichtigung von Konvergenzzeiten für Routingprotokolle, rechtzeitige Failover-Lösungen für Redundanzoptionen und erhöhte Bandbreitenanforderungen. Vergewissern Sie sich, dass die Organisation die Verwendung von DNSSEC-bewährten oder unterstützenden Registrierstellen ausführt. Verstehen Sie die Möglichkeiten Ihres DNS-Registrars. Stellen Sie sicher, dass Ihr Registrator DNSSEC-fähig ist. Die minimalen DNSSEC-Unterstützungsfähigkeiten eines Registrars müssen sein, dass Sie veröffentlichte DNSKEY-Datensatz - (oder DS-) Informationen für die Schlüssel, die zum Signieren der Daten in Ihrer Zone verwendet werden, hochladen, ersetzen und entfernen können. Ein Domain Name Registrar ist eine Organisation oder kommerzielle Einrichtung, die von der Internet Corporation für zugeordnete Namen und Nummern (ICANN) oder von einer nationalen Ländercode-Top-Level-Domain (ccTLD) berechtigt ist, die Reservierung von Internetdomänennamen gemäß den Richtlinien zu verwalten Der bezeichneten Domain-Namen-Register und bieten solche Dienste für die Öffentlichkeit. Verstehen und effektives Ausführen von Schlüsselverwaltungsstrategien und - verläufen Betriebsverfahren, die DNSSEC betreffen, erfordern die Aufrechterhaltung der Vertrauenskette (die sehr langwierig werden kann), auf der DNSSEC beruht. Die einfache Tatsache, dass DNSSEC von asymmetrischen Schlüsseln und Signaturen Gebrauch macht, zeigt, dass private und öffentliche Schlüssel - und Signaturmanagementprozesse und - strategien benötigt werden. Darüber hinaus ist es unerlässlich zu verstehen, dass die Verantwortung für die Aufrechterhaltung der Kette des Vertrauens liegt bei vielen Einrichtungen, darunter Administratoren und Architekten von gesicherten Zonen, die Unterzeichner und Registrare. Aktualisieren von DNS-Servern Ein Schlüsselelement einer erfolgreichen DNSSEC-Migration ist der DNS-Server selbst. Die meisten DNS-Server enthalten DNSSEC-Unterstützung. BIND, das bis heute einer der am meisten verwendeten DNS-Server ist, kann für DNSSEC mit verschiedenen Versionen, am häufigsten Version 9, bereitgestellt werden. Auf der Windows Server-Front muss jeder Windows 2003-Server auf Windows 2008 für vollständige DNSSEC-Compliance aktualisiert werden . Konsultieren Sie circleidpostsdnssecwillmicrosofthaveenoughtime vor dem Bereitstellen von DNSSEC in einer Windows-Serverumgebung. Rekursive Resolver müssen DNSSEC-fähig und konfiguriert sein, um DNSSEC-Validierung durchzuführen (dh die verschiedenen DNSSEC-Nachrichten, Signaturen und Schlüssel zu erkennen). Beispiele für die Validierung von Resolver sind Bind Version 9 oder höher und Unbound von NLNet Labs. Fehlersuche bei DNSSEC Bevor Sie die allgemeinen Fragen zur Fehlerbehebung in diesem Abschnitt erläutern, müssen Sie sich an die wichtigsten Punkte zum Zweck von DNSSEC erinnern. DNSSEC wurde entwickelt, um Folgendes sicherzustellen: Ursprungsauthentifizierung von DNS-Daten Datenintegrität Authentifizierte Verweigerung der Existenz DNSSEC gibt DNSSEC-validierenden Resolver die Möglichkeit, die Echtheit eines in einer DNS-Abfrage empfangenen RR zu validieren. If a client resolver is configured to use a DNSSEC-validating resolver and it sends a DNSSEC-enabled query (DNSSEC OK (DO) EDNS header bit) to the resolver, the validating resolver will attempt to validate the RR received in the DNS query. If the RR successfully validates, the validating resolver will return a QR to the client resolver with the quotAuthenticated Data (AD)quot flag set. However, if the DNSSEC-enabled validating resolver fails to validate the RR, it will respond to the client resolver with a quotSERVFAILquot QR. It should be noted that quotSERVFAILquot is a generic DNS QR error message and does not indicate whether the underlying problem is due to a DNSSEC issue. An essential requirement in the previous paragraph is the dependency on the client resolver being configured to use a DNSSEC-validating resolver and send a DNSSEC-enabled query to the validating resolver. If the client resolver is configured to use a non-DNSSEC-validating recursive resolver ( a resolver that does not perform DNSSEC validation), a query for the RR would return a successful NOERROR QR, pending proper configuration on the client and the RR that is configured in a zone on the DNS server. Client resolvers can also send DNSSEC-validating resolvers a non-DNSSEC-enabled query to successfully resolve a RR by not setting the DO bit in the EDNS header in the query. Figure 8 displays the question and answer to a query that was successfully validated by the clients DNSSEC-validating recursive resolver. The authenticity of the good-A. test. dnssec-tools. org RR DNS QR is illustrated with the presence of the Authenticated Data (AD) flag, which indicates successful validation. Additionally, both the RRSIG RR and the RR of TYPE A (what was requested) are both present in the ANSWER section of the DNSSEC QR. Figure 8. Successfully Authenticated DNSSEC Query and Response Some common issues observed with DNSSEC are included in the list that follows. The character indicates that the item will be addressed in this document. Larger DNS message sizes Validation failures KSK rollover and management Time issues Expiration of Signatures Increased usage of TCP DNS software bugs Devices that inspect and or alter DNS messages (for example, firewalls) Increased memory and disk usage Larger DNS Message Sizes As previously mentioned, packet sizes with DNSSEC will be larger than DNS without DNSSEC. The size difference is managed with the help of the EDNS. It is critical to understand RFC 1035 (Section 2.3.4. Size Limits) because this RFC describes the legacy limit for a DNS message size sent over UDP to be 512 bytes, while DNSSEC messages can easily range up to 2000 bytes in size. Many intermediate devices will inspect a DNS message for size. If the message is greater than 512 bytes, the device will drop the message and resolution may fail. Common devices that inspect DNS messages for size include firewalls, load-balancers, SOHO routers, NAT devices, etc. For the DNSSEC validating resolver to effectively process a DNSSEC QR message, you need to ensure that the path between your resolver and resolvers upstream permit DNS messages with the OPT RR present and the EDNS flag set, as well as the ability to process a DNSSEC RR with a possible size of 4096 bytes in length. The first troubleshooting example that we will cover is to determine the size of the DNS query response message that is permitted between the clients recursive resolver and OARCs DNS Reply Size Test Server . Note: The IPv4 or IPv6 address listed prior to DNS reply size limit is at least in the output below is the source address in the Query message when received by the DNS-OARC Reply Size Test Server. If the recursive resolver sits behind a NAT device, or a load-balancer, or some other type of intermediate device such as a firewall this could provide additional awareness whether a problem could be limitation of that device and not the resolver itself. By default dig will use the resolvers in quotetcresolv. confquot and the resolver can be changed using the ltservergt option of dig. The ideal DNS QR message reply size limit should be larger than 4,000 bytes to effectively support DNSSEC however, if the DNS QR message is smaller than 4,000 bytes, it is recommended that you investigate whether the problem is lack of support for EDNS (for example lacks EDNS, defaults to 512), IP fragments being filtered, the message was truncated and sent via TCP and then retrying in TCP mode, etc. Additional information about the DNS-OARC Reply Size Test Server is available at the following link: dns-oarc. netoarcservicesreplysizetest. The outputs from running the dig utility are shown in Figure 9. Figure 9. Sample Output from dig Utility Validation failures may occur for various reasons, including the following: Bad signature, or the signature has expired or is for the future Bad data in the RR Keys reference keys that do not exist (for example, DS key references a DNSKEY that does not exist in the currently served zone data) Lack of a signature for a signed zone In this section, we will troubleshoot some of the common validation failures using the DNSSEC-Tools Project Test Zone and DNS OARC Open DNSSEC Validating Resolver service. Note: When troubleshooting validation failures, setting the Checking Disabled (CD) flag can provide added visibility because it informs the recursive DNSSEC-validating resolver to disable signature validation of an RR for the submitted query. If the DNS QR result status is NOERROR (successful), the output should include the RR type (if present) for the query request along with the RRSIG RRs for the queried RR this typically indicates a validation failure, which can occur due to the varying reasons previously mentioned. Setting the CD flag for a DNS query request can also provide visibility into the size of the DNS QR as well. Figure 10 . Example of Troubleshooting DNSSEC Validation Failures Devices That Inspect and Alter DNS Messages There are software features, protocols, products and devices that range from firewalls, load-balancers, and DNS proxies to devices performing NAT that may inspect or alter the original contents of a DNS query message. With the addition of DNSSEC, devices that historically inspect legacy DNS messages may not properly process DNS messages that contain DNSSEC data, or these devices may alter the DNS message contents, which could cause DNSSEC validation failures. Additionally, many devices may still adhere to the legacy DNS maximum message length of 512 bytes for DNS messages sent over UDP. Sticking to the size limit of 512 bytes could also lead to inconsistencies in validating signed RRs: successful validation or a failed validation. Operators must ensure that the devices over which DNSSEC-enabled messages transit do not tamper with or alter the DNS message contents that could cause validation failures. Devices must also be EDNS-aware, able to properly inspect and process DNSSEC-enabled messages, configured to permit both DNS packets sent on UDP and TCP port 53, and ensure that messages larger than 512 bytes are permitted and not dropped. As an example, the Cisco PIX Firewall products that have now been replaced by the Cisco Adaptive Security Appliance (ASA)would drop any DNS message larger than 512 bytes in length. If your firewall still has this DNS inspection limit enabled, you may see the log message shown in Figure 11 on your Syslog host or the logging buffer of the firewall. It should be noted that these log messages are also applicable to the Firewall Services Module (FWSM) for the Cisco Catalyst 6500 Switch and Cisco 7600 Series router. Figure 11 . Example of Troubleshooting DNSSEC Validation Failures Guidance on device configuration recommendations is available in the Preparing Your Network section of this white paper. Additional Tools for Troubleshooting DNSSEC The DNSSEC Debugger from VeriSign Labs is an online tool to assist with diagnosing problems with DNSSEC-signed names and zones. VeriSign Labs: YAZVS Yet Another Zone Validation Script yazvs. verisignlabs yazvs. pl is one of the utilities that VeriSign uses daily to validate new versions of the root and arpa zones before they are published to the distribution masters. It performs the following steps: Read a candidate zone file from disk Validate KSKs using a locally configured trust anchor Validate ZSKs using KSKs Validate RRSIGs using ZSKs Retrieve the current zone data via AXFR Print a summary of the number of KSKs, ZSKs, DS, and RRSIG records that have changed Optionally produce a Unix diff of the two zones, excluding RRSIGNSECNSEC3 records Sandia National Laboratories: DNSViz dnsviz. net DNSViz is a tool for visualizing the status of a DNS zone. It was designed as a resource for understanding and troubleshooting deployment of the DNS Security Extensions (DNSSEC). It provides a visual analysis of the DNSSEC authentication chain for a domain name and its resolution path in the DNS namespace, and it lists configuration errors detected by the tool. The DNSSEC Checker is a python script that has been created to be used within nagios 3.x, as standalone or can be used integrated in a webpage. The chain validation uses the binaries of unbound-host, which can use a running instance of unbound to enable caching to speed up the process. Other checks make use of the dnspython module to handle DNS packets with EDNS. UCLA University: SecSpider the DNSSEC Monitoring Project secspider. cs. ucla. edu DNSCheck is a program that was designed to help people check, measure, and understand the workings of the DNS. When a domain (zone) is submitted to DNSCheck, it will investigate the domains general health by traversing the DNS from root (.) to the TLD (Top Level Domain, such as. SE) to eventually the nameserver(s) that holds the information about the specified domain (such as iis. se). Other checks, for example measuring host connectivity, validity of IP-addresses, and control of DNSSEC signatures will also be performed. DNSCHECK is a service that verifies the quality of delegations in DNS. The service should not be compared with programs that verify and check the content of a zone. DNSCHECK consists of one program that verifies the delegation, and one larger package that runs this program repeatedly and collects statistics. No regular checks of zones are done, only manual checking. And because of that, some statistics of the zone content (number of delegations, for example) might be wrong. Conclusion There has been a great deal of information shared regarding the deployment of DNSSEC and how it will be effective in preventing certain types of DNS-related attacks, for example, DNS cache poisoning, that are prevalent on the Internet. This white paper may assist networking staff in deploying DNSSEC more seamlessly in their network. The authors hope that the information contained in this document will help network administrators avoid some of the networking issues that may arise when DNSSEC is deployed in the network. Acknowledgments Authors John Stuppi (jstuppicisco ) and Joseph Karpenko (jkarpenkcisco ) are members of the Applied Intelligence team in the Security Research amp Operations organization. Andrae Middleton (amiddletcisco ) of Applied Intelligence and Tim Sammut (tsammutcisco ) of the PSIRT also contributed to this white paper. Additional Resources References
No comments:
Post a Comment