¿Ha habilitado DNSSEC en el servidor DNS? De lo contrario, aprenda cómo habilitar DNSSEC en el servidor DNS basado en Bind. Una vez que haya instalado y configurado DNSSEC validando el servidor DNS seguro, asegúrese de probarlo correctamente. Como administrador, estas son las pruebas básicas que debe realizar después de configurar el servidor DNS habilitado para DNSSEC. Asegúrese de que los dominios DNS que están firmados con DNSSEC se validen correctamente al informar el indicador de datos autenticados (AD) y los dominios DNS con DNSSEC roto no se validen con SERVFAIL. Sin embargo, el resolutor debe resolver los dominios que no son DNSSEC como normalmente. Veremos cómo validar DNSSEC utilizando tanto el comando como el servicio web.
¿Cómo validar dominios firmados con DNSSEC usando dig?
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
¡Probemos un dominio firmado con DNSSEC ahora!
$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssectest.sidn.nl. IN A ;; ANSWER SECTION: dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl. dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 ( 20131114071501 42033 sidn.nl. oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= ) www.sidn.nl. 10466 IN A 213.136.31.220 www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 ( 20131113071501 42033 sidn.nl. QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= ) ;; Query time: 1610 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:43:14 2013 ;; MSG SIZE rcvd: 415
En el resultado anterior, busque los datos autenticados (AD) establecidos en FLAGS. Solicitar un dominio DNS firmado con DNSSEC con el indicador DO establecido (que es DNSSEC OK) debe proporcionar un indicador de respuesta autenticada (AD) establecido en el encabezado.
Validación de dominio DNSSEC roto o mal configurado
$ dig dnssec-or-not.org +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec-or-not.org. IN A ;; Query time: 334 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:46:32 2013 ;; MSG SIZE rcvd: 46
Intentar resolver un dominio que tiene problemas de DNSSEC debería devolver SERVFAIL como código de retorno en el encabezado. Busque SERVFAIL en el resultado anterior.
Validando el dominio no firmado por DNSSEC, debería resolverse normalmente
$ dig espncricinfo.com +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;espncricinfo.com. IN A ;; ANSWER SECTION: espncricinfo.com. 102 IN A 80.168.92.141 ;; Query time: 431 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:51:12 2013 ;; MSG SIZE rcvd: 61
Intentar resolver un dominio que no está firmado por DNSSEC debería resolverse normalmente. ¿Por qué espncricinfo.com? Bueno, estaba viendo el último partido de prueba número 200 de Sachin Tendulkar contra las Indias Occidentales. ¡Qué leyenda!
Pocos servicios web para pruebas DNSSEC
DNSVIZ
Es un servicio web para visualizar el estado de una zona DNS. Le ayuda a comprender y solucionar los problemas de implementación de DNSSEC al proporcionar un análisis visual de la cadena de autenticación de DNSSEC y su ruta de resolución. La herramienta es capaz de enumerar los errores de configuración durante el proceso de validación.
Revisa DNSVIZ.
Control de zona
ZoneCheck es una herramienta sencilla que te permite descubrir y solucionar errores de configuración de DNS. Comprueba la zona en busca de configuraciones incorrectas o inconsistencias (debido a la latencia de la aplicación) y genera un informe.
Compruebe ZoneCheck.SecSpider de Verisign
SecSpider monitorea las métricas de implementación de DNSSEC, métricas de disponibilidad, métricas de verificabilidad, métricas de validación, etc...
Compruebe SecSpider.
Y más…
* Verisign Labs desarrolló "¿DNSSEC o no?" validador Echa un vistazo aquí.
* SIDN desarrolló "¿Es usted un DNSSEC protegido?" – Pagar aquí.
* ICSI Netalyzer, una herramienta de prueba de red, que también incluye la validación de DNSSEC:consulte aquí.
* Uno similar de la Universidad de Düsseldorf, Alemania: echa un vistazo aquí.
LEER:Guía para principiantes de DNSSEC
LEER:¿Cómo configurar DNSSEC en Bind?