6 votos

¿Cuáles son los efectos del servidor root " L " ahora la publicación de DURZ?

Tengo curiosidad por lo que los efectos reales de la L servidor root de la publicación de DURZ hoy va a ser. En el nanog lista de correo, alguien dijo que es importante evaluar los efectos sistémicos de los servidores de nombres root de la publicación de las zonas firmadas, aun cuando no se utiliza DNSSEC. Mientras tanto, MADURO propia de la información publicada sobre los cambios en la K servidor root dicen que no hay ningún problema si sus resoluciones no uso de DNSSEC. Por favor alguien puede aclarar esto? DNSSEC parece ser un tanto desordenada, tangled web.

Si no la habilitación de DNSSEC en mi resoluciones, ¿tengo nada de que preocuparse con los cambios que se avecinan a los servidores root?

10voto

Joey deVilla Puntos 4487

Usted puede ver algo, pero hasta cierto punto que depende de qué software DNS está funcionando.

En particular, se UNEN los conjuntos de la "DNSSEC OK" (aka DO) bits en la parte alta de las consultas, incluso cuando no está pidiendo específicamente para DNSSEC registros o realizar la validación DNSSEC.

En tales circunstancias, los servidores root puede enviar de vuelta adicional DNSSEC registros que pueden causar problemas en el improbable caso de que usted tiene rota la red de engranajes y/o mal configurado los servidores de seguridad en la ruta.

Los problemas que en su mayoría se relacionan con el tamaño de los paquetes. Algunos kit no, como DNS, UDP paquetes que excedan de 512 bytes de longitud, ya sea a través de buggy firmware o errorenous configuraciones recomendadas del fabricante. Ver a mi RFC 5625 para obtener más detalles. Nota a pesar de que la mayoría de las DNSSEC relacionados con los problemas que me informe en que el RFC se refieren a los consumidores de la clase de equipo, y sólo en raras configuraciones.

Tenga en cuenta que si su equipo tiene problemas con grandes paquetes UDP, entonces la alternativa es el uso de TCP. Sin embargo, algunos (equivocada) de que la gente de seguridad de configurar su cortafuegos para deshabilitar la salida de DNS a través de TCP, que rompe la reserva. Ver este borrador IETF para obtener más información acerca de DNS a través de TCP.

Por el camino, para probar la red de la configuración de DNS posibles peculiaridades, recomiendo el excelente Netalyzr sitio web de la ICSI en la UC Berkeley.

Para ser claro, sin embargo, la mayoría de los DNS de los expertos no esperan problemas importantes debido a la introducción de DNSSEC. Varios Dominios (incluyendo .org y .se) ya han sido firmados y el internet no colapsar a causa de ella.

El DURZ es un intento deliberado de abandonar gradualmente en las grandes respuestas que DNSSEC, inevitablemente, produce, de modo que los pocos sitios que tienen problemas de red pueden resolverlos antes de que toda la zona de la root va a DNSSEC en el verano.

3voto

John Hunter Puntos 2204

Una explicación de lo que puede ir mal, en pseudo-código, para aquellos que prefieren el imperativo de los lenguajes de programación :-)

-- Pseudo-código (sintaxis más o menos Ada) para mostrar lo que sucede a
-- una resolución de DNS cuando la root está firmado y las respuestas se vuelven
-- más grandes.

-- Información de fondo:
-- https://www.dns-oarc.net/oarc/services/replysizetest
-- RFC 5625
-- Informe del SSAC #35 http://www.icann.org/committees/security/sac035.pdf

-- Stephane Bortzmeyer 

-- Las Variables utilizadas fueron:
-- EDNS0: booleano que indica si el servidor envía EDNS0 solicitudes
-- EDNS0_Size: número entero positivo, el tamaño de búfer anunciado por EDNS0
-- DO_DNSSEC: booleano, el HACER flag soporte para DNSSEC por la resolución
-- Min_Response_Size: integer, el mínimo (después de dejar a
-- innecesarios RR) tamaño de la DNS de la respuesta enviada por la autoridad
-- server
-- Clean_path_for_fragments: boolean, indica que la UDP fragmentos
-- puede viajar desde el servidor de nombres autorizado para la resolución de
-- Clean_Path_For_EDNS0: boolean, indica que EDNS0 respuestas
-- (que puede ser de más de 512 bytes) puede viajar desde el
-- servidor de nombres con autoridad para la resolución de
-- Can_TCP: boolean, indica que la resolución puede pedir a través de TCP
-- (lo que implica una limpia TCP parche y un servidor de nombres autorizado
-- que aceptar TCP)

-- El código puede ser ejecutado varias veces para una solicitud, para
-- ejemplo, porque un solucionador intenta primero con UDP, vuelve a intentar
-- con TCP.

si UDP -- lo Más común protocolo de transporte para el DNS
 si EDNS0, a continuación,
 si EDNS0_Size > MTU, a continuación,
 -- BIND defecto, EDNS0_size = 4096 bytes
 si DO_DNSSEC, a continuación,
 -- BIND defecto, incluso si no está configurado para su validación
 si Min_Response_Size > MTU luego, No es el caso hoy en día con la root
 si Clean_Path_for_fragments, a continuación,
OK;
otra cosa
 -- Después de un tiempo se UNEN va a cambiar a no-EDNS0, empezar de nuevo
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
 elsif Min_Response_Size > 512, a continuación,
 -- No la fragmentación va a ocurrir
 si Clean_Path_For_EDNS0, a continuación,
 OK; - Que es el normal y típico caso de un enlace
 -- resolución de hoy, con la firma de la root
otra cosa
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
 otra cosa ... no se producen hoy en día, la respuesta de la root ya están > 512
OK;
 end if;
otra cosa
 -- Sin DNSSEC, las respuestas serán más cortos, pero algunos
 -- respuestas desde la root ya se > 512
 si Min_Response_Size > MTU, a continuación,
 -- Poco probable, sin DNSSEC
 si Clean_Path_for_fragments, a continuación,
OK;
otra cosa
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
 elsif Min_Response_Size > 512, a continuación,
 si Clean_Path_For_EDNS0, a continuación,
OK;
otra cosa
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
 los demás -- caso Más común hoy en día, el típico unsigned
 -- respuesta es de 100 a 200 bytes
OK;
 end if;
 end if;
 elsif EDNS0_Size >= 512, Pero menor que la de la MTU
 si DO_DNSSEC, a continuación,
 si Min_Response_Size > EDNS0_Size, a continuación,
 -- Esto supone que los paquetes DNS con TC conjunto de bits llegar 
 -- de forma segura, no siempre es cierto
Reintento("Truncamiento");
 elsif Min_Response_Size >= 512, a continuación,
 si Clean_Path_for_EDNS0, a continuación,
OK;
otra cosa
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
 otra cosa ... no ocurren a menudo hoy en día, algunas de las respuestas de la root ya están > 512
 OK; - No siempre, algunos middleboxes puede bloquear EDNS0
 -- respuestas, incluso con un tamaño de 512, a continuación,
 si Clean_Path_For_EDNS0, a continuación,
OK;
otra cosa
 Reintento("las Respuestas no pueden ser debido a EDNS0");
 end if;
otra cosa
OK;
 end if;
 end if;
 los demás -- EDNS0 con un tamaño de 512, a continuación,
Reintento("Truncamiento");
otra cosa
OK;
 end if;
 end if;
los demás -- TCP
 si Can_TCP, a continuación,
 OK, Pero una mayor latencia y mayor carga en los servidores de nombres autoritativos
otra cosa
 Error("Fallback para TCP error"); -- total y Completo fracaso
 end if;
end if;

1voto

John Hunter Puntos 2204

Otra solución para probar la configuración, que me parece mucho más simple que Netalyzr, es OARC respuesta el tamaño de la prueba.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: