Quali sono gli effetti del server L root ora pubblicando DURZ?

Sono curioso di cosa saranno gli effetti reali del server L root che pubblica DURZ oggi . Nella mailing list di nanog, qualcuno ha detto che è importnte valutare gli effetti sisthemesci dei server di nome radice che pubblicano le zone firmate, anche quando non si utilizza DNSSEC. Nel frattempo, le informazioni pubblicate da RIPE sulle loro modifiche al server K di K, dicono che non esiste alcun problema se i tuoi resolver non utilizzano DNSSEC . Può qualcuno chiarire questo in su? DNSSEC sembra essere un disordinato e intricato web.

Se non abilita DNSSEC sui miei resolver, devo preoccuparmi delle prossime modifiche ai server root?

  • DNS Un record con ip dinamico
  • Ottenere l'applicazione di ricerca google safe utilizzando CNAME con non legato e nsd?
  • In un computer Win7 che appartiene a un dominio, come si appendono le voci di elenco DNS di ricerca?
  • OSX nslookup può risolvere un nome host LAN, ma il ping non può?
  • Hotmail invio di un messaggio di posta elettronica a record non MX
  • SPF - devo implementare?
  • Come aggiornare una zona con auto-dnssec: mantenere
  • DNSSec NSEC3 richiede il supporto del Registrar, del server DNS o di entrambi?
  • Come rimuovere il supporto DNSSEC da un dominio?
  • server DNS DNS 2003 e DNS SEC
  • DANE Trust Anchor - Self-signed o no
  • Quali sono i TLD da utilizzare per i miei record NS per la ridondanza? (Richiesto supporto DNSSEC)
  • 3 Solutions collect form web for “Quali sono gli effetti del server L root ora pubblicando DURZ?”

    Potresti vedere qualcosa, ma in qualche misura dipende da quale software DNS stai eseguendo.

    In particolare, BIND imposta il bit "DNSSEC OK" (aKA DO ) sulle query a monte anche quando non richiede specificamente i record DNSSEC o la validazione DNSSEC.

    In tali circostanze, i server di origine possono submit ulteriori record DNSSEC che possono causare problemi nel caso improbabile che tu abbia interrotto gli ingranaggi di networking e / oi firewall misconfigurati nel path.

    Questi problemi si riferiscono principalmente alla dimensione del pacchetto. Alcuni kit non amano i pacchetti UDP DNS che superano 512 byte di lunghezza, sia tramite firmware buggy o configurazioni consigliate erronee dal fornitore. Vedere la mia RFC 5625 per ulteriori dettagli. Notare però che la maggior parte dei problemi legati a DNSSEC che io riferisco in tale RFC si riferiscono all'attrezzatura di class consumer e solo in configurazioni insolite.

    Si noti che se il tuo kit ha problemi con i grandi pacchetti UDP, allora il fallback consiste nell'utilizzare TCP. Tuttavia alcune persone (in errore) di sicurezza configurano i loro firewall per distriggersre il DNS in output su TCP, che interrompe la fallback. Vedere questo progetto IETF per ulteriori informazioni su DNS su TCP.

    A proposito, per verificare la configuration della tua networking per possibili richiami DNS, consiglio vivamente l' eccellente sito Netalyzr da ICSI a UC Berkeley.

    Per essere chiari, tuttavia, la maggior parte degli esperti di DNS non prevede problemi significativi a causa dell'introduzione di DNSSEC. Molti TLD (compresi .org e .se) sono già stati firmati e l'internet non è crollato a causa di esso.

    Il DURZ è un tentativo deliberato di passare gradualmente alle risposte più grandi che DNSSEC produce inevitabilmente in modo che quei siti rari che hanno problemi di networking possano risolverli prima che l'intera zona radice passino a DNSSEC in estate.

    Una spiegazione di ciò che può andare male, in pseudo-codice, per coloro che preferiscono i linguaggi di programmazione imperativa 🙂

     - Pseudo-codice (syntax più o less Ada-simili) per mostrare cosa succede
     - un resolver DNS quando la radice è firmata e le risposte diventano
     -- più grandi.
    
     -- Informazioni di base:
     - https://www.dns-oarc.net/oarc/services/replysizetest
     - RFC 5625
     - rapporto SSAC # 35 http://www.icann.org/committees/security/sac035.pdf
    
     - Stephane Bortzmeyer 
    
     - Variabili utilizzate:
     - EDNS0: boolean, indica se il resolver invia richieste EDNS0
     - EDNS0_Size: integer positivo, dimensione del buffer pubblicizzato da EDNS0
     - DO_DNSSEC: boolean, la bandiera DO che indica il supporto DNSSEC da parte del resolver
     - Min_Response_Size: numero integer, il minimo (dopo aver abbandonato
     - RR non necessaria) della risposta DNS inviata dall'autoritativo
     -- server
     - Clean_path_for_fragments: boolean, indica i frammenti UDP
     - può viaggiare dal server di nome autorevole al resolver
     - Clean_Path_For_EDNS0: boolean, indica che le risposte EDNS0
     - (che può essere più grande di 512 byte) può viaggiare da
     - autorevole nome server al resolver
     - Can_TCP: boolean, indica che il resolver può chiedere tramite TCP
     - (che implica una patch TCP pulita e un autorevole server di nomi
     - che accettano TCP)
    
     - Il codice può essere eseguito più volte per una richiesta, per
     - istanza perché un resolver cerca prima con UDP, quindi riprova
     - con TCP.
    
     se UDP quindi - protocollo di trasporto comune MOst per DNS
        se EDNS0 allora
           se EDNS0_Size> MTU allora
              - BIND default, EDNS0_size = 4096 byte
              se DO_DNSSEC allora
                 - BIND predefinito, anche se non è configurato per la validation
                 se Min_Response_Size> MTU allora - Non è il caso oggi con la radice
                    se Clean_Path_for_fragments allora
                       OK;
                    altro
                       - Dopo un po 'di tempo BIND passerà a non-EDNS0, iniziare
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 elsif Min_Response_Size> 512 allora
                    - Non si verificherà frammentazione
                    quindi Clean_Path_For_EDNS0
                       OK;  - Questo è il caso normale e tipico per un BIND
                           - risolutore oggi, con la radice firmata
                    altro
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 altrimenti - Non accadrà oggi, le risposte dalla radice sono già> 512
                    OK;
                 finisci se;
              altro
                 - Senza DNSSEC, le risposte saranno più corte ma alcune
                 - le risposte dalla radice sono già> 512
                 se Min_Response_Size> MTU allora
                    - improbabile, senza DNSSEC
                    se Clean_Path_for_fragments allora
                       OK;
                    altro
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 elsif Min_Response_Size> 512 allora
                    quindi Clean_Path_For_EDNS0
                       OK;
                    altro
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 altra cosa - oggi più comune, il tipico non firmato
                      - la risposta è di 100-200 byte
                    OK;
                 finisci se;
              finisci se;
           elsif EDNS0_Size> = 512 allora - ma inferiore al MTU
              se DO_DNSSEC allora
                 se Min_Response_Size> EDNS0_Size allora
                    - Ciò presuppone che i pacchetti DNS con set di bit TC arrivino 
                    - in sicurezza, non sempre vero
                    Riprova ( "troncamento");
                 elsif Min_Response_Size> = 512 allora
                    quindi Clean_Path_for_EDNS0
                       OK;
                    altro
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 altrimenti - spesso non si verifica oggi, alcune risposte dalla radice sono già> 512
                    OK;  - Non sempre, alcuni middlebox possono bloccare EDNS0
                        - risposte, anche con la dimensione 512 poi
                    quindi Clean_Path_For_EDNS0
                       OK;
                    altro
                       Riprova ("Le risposte non ricevute possono essere dovute a EDNS0");
                    finisci se;
                 altro
                    OK;
                 finisci se;
              finisci se;
           altrimenti - EDNS0 con la dimensione 512 poi
              Riprova ( "troncamento");
           altro
              OK;
           finisci se;
        finisci se;
     altro - TCP
        se Can_TCP allora
           OK;  - Ma maggiore latenza e un carico più elevato su server autoritativi
        altro
           Errore ("Fallback to TCP failed");  - Fallimento totale e totale
        finisci se;
     finisci se;
    

    Un'altra soluzione per testare la configuration, che trovo molto più semplice di Netalyzr, è il test di size di risposta OARC .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.