forum.lissyara.su

Добавлено: **2010-04-16 7:45:35**

Сегодня наткнулся на статью которая гласит что

5 мая этого года служба имен Интернета DNS переходит на новый, более защищенный протокол под названием DNSSEC. Последствия этого перехода могут быть самыми непредсказуемыми. Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов.

Интерсно это правда или бред, и как теперь с этим бороться. Статейка была опубликованна на mail.ru.

Добавлено: **2010-04-16 11:39:18**

Бред какой-то. DNSSEC это не отдельный протокол, а скорее надстройка над старым DNS. Просто к стандартным записям зоны (SOA, A, MX, PTR, NS, etc...) добавляются новые (DNSKEY, DS, RRSIG, NSEC3) с помошью которых в зону вносятся ПОДПИСИ(ХЕШИ) данных зоны, открытые ключи и записи для построения цепочки доверия с открытыми ключами нижестоящей зоны. Старые DNS кеш-ресолверы без поддержки DNSSEC как работали так и будут работать как и раньше.

Косяки могут начаться только у тех кто внедрил себе ресольвер-кеш с поддержкой DNSSEC валидации при условии возникновения какой-нить аварии/криворукости с DNSSEC ключами, но это отдельные пациенты, а не все сразу. Да и не конкретно сейчас, а вообще, в перспективе, так как чтобы начались косяки непосредственно с корневой зоной, надо использовать их ключи которые еще не достуны.

Вот тут конкретный таймлайн http://www.root-dnssec.org/

Сейчас происходит процесс подписи данных корневой зоны. Когда это будет сделано, то ICANN опубликует публичный ключ от пары ключей которыми проводилось подписывание данных в зоне. Далее регистраторы доменов первого уровня (nic.ru) будут внедрять DNSSEC у себя и после внедрения построют цепь доверия с корневыми серверами. А только потом уже непосредственно простые смертные регистрирующие домены второго уровня смогут начинать использовать DNSSEC.

Короче в mail.ru работают Иксперты по новостям типа "мывсеумрём", а не по DNS.

Добавлено: **2010-04-16 11:56:12**

во:

Сейчас новый протокол осторожно внедряется на корневых серверах имен DNS. В мае этого года на новый протокол с цифровыми подписями должны перейти все 13 корневых серверов. С 5 мая все брандмауэры и провайдеры, не поддерживающие полностью протокол DNSSEC, больше не смогут даже отправить электронную почту, не говоря уже о комфортном просмотре веб-сайтов. Причина возможных сбоев заключается в принципиальных отличиях протокола DNSSEC. Дело в том, стандартный протокол DNS использует транспортный уровень UDP (отправка без ожидания подтверждения) и пакеты размером менее 512 байт. Именно поэтому многие модели сетевого оборудования содержат в заводских настройках запрет на прием UDP-пакетов размером более 512 байт. Подписанные пакеты DNSSEC, которые будут передаваться с корневых DNS-серверов, имеют размер гораздо больше 512 байт, так что немалая доля сетевого оборудования может просто перестать работать с новым протоколом.

Конечно, некоторые модели сетевых устройств могут перейти на транспортный протокол TCP для обмена информацией с DNS-серверами, но это резко повысит нагрузку на каналы передачи данных. Дополнительные ресурсы будут затрачиваться на установление и поддержание соединений. Еще одна проблема связана с тем, что некоторые провайдеры, а также органы Интернет-цензуры в Китае подменяют содержимое ответов от DNS-серверов.

Аффтары статьи придурки бля. Начитались небось журнала "Какер" и жгут теперь напалмом. Давайте - готовтесь! Покупайте цыски и джуниперы с "зашитой от переполнения UDP пакетов больше 512 байт". Фпиред.

Код: Выделить всё

pf scrub
ipfw reass

Добавлено: **2010-04-16 12:58:59**

Спасибо за пояснение.

Добавлено: **2010-04-17 12:18:34**

Сегодня поболтал на эту тему со спецом по dns
вобщем он объснил это так

да по-моему ничего страшного
просто начиная с мая, рутовые сервера на запрос будут отвечать ответом с сигнатурой
и ответ с сингнатурой может не влезть в 512 байт
соответственно если у вас файрволл или роутер банит UDP > 512 байт, то у вас проблема

Просто с 5 мая рутовые сервера отвечать будут udp запросами которые больше 512 байт
проверить можно послав запров на днс dig +dnssec example.com @a.root-servers.net если ответ пришел значит все ок

Добавлено: **2010-04-17 14:36:05**

Авторитарный сервер даст ответ с сигнатурой внутри, только тогда, когда в запросе на разрешение от кеш-сервера, стоит специальная метка - флаг DO. Тогда, на запрос о како-либо имени, кроме самого имени, в ответ помещается еще и DNSSEC записи.

Когда DO в запросе нет, то авторитарный DNS сервер не будет пихать в ответ лишние данные о которых его не спрашивали.

Проверяем на примере unbound.net. где уже внедрен DNSSEC:

Без просьбы предоставить нам дополнительные данные:

Код: Выделить всё

[terminus@hius 14:15:16 /usr/home/terminus]$ dig @open.nlnetlabs.nl. www.unbound.net. A

; <<>> DiG 9.4.-ESV <<>> @open.nlnetlabs.nl. www.unbound.net. A
; (3 servers found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20057
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.unbound.net.               IN      A

;; ANSWER SECTION:
www.unbound.net.        7200    IN      A       213.248.210.39
www.unbound.net.        7200    IN      A       213.154.224.1

;; AUTHORITY SECTION:
unbound.net.            7200    IN      NS      nom-ns1.nominet.org.uk.
unbound.net.            7200    IN      NS      ns.secret-wg.org.
unbound.net.            7200    IN      NS      open.nlnetlabs.nl.

;; ADDITIONAL SECTION:
ns.secret-wg.org.       3600    IN      A       213.154.224.48
open.nlnetlabs.nl.      10200   IN      A       213.154.224.1
open.nlnetlabs.nl.      10200   IN      AAAA    2001:7b8:206:1::1
open.nlnetlabs.nl.      10200   IN      AAAA    2001:7b8:206:1::53

;; Query time: 80 msec
;; SERVER: 213.154.224.1#53(213.154.224.1)
;; WHEN: Sat Apr 17 14:15:50 2010
;; MSG SIZE  rcvd: 250

И когда установлен DO:

Код: Выделить всё

[terminus@hius 14:15:50 /usr/home/terminus]$ dig +dnssec @open.nlnetlabs.nl. www.unbound.net. A

; <<>> DiG 9.4.-ESV <<>> +dnssec @open.nlnetlabs.nl. www.unbound.net. A
; (3 servers found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43126
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 8
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.unbound.net.               IN      A

;; ANSWER SECTION:
www.unbound.net.        7200    IN      A       213.154.224.1
www.unbound.net.        7200    IN      A       213.248.210.39
www.unbound.net.        7200    IN      RRSIG   A 5 3 7200 20100514235007 20100414235007 8114 unbound.net. PriP2HXtFipzYdDJg87ncLcLIPCFl5bbpTTSO6K4rFPLsubIdlccgakJ bl7xqpUhuhXprnUzhvzR2TQh/ECjlS4u2FjIXKtHCqrc8QTuxY/90+4g LuV3XN0yoera+M/kDkhJ1z0PPu7mbEpPxDEAz7JEpitpaH9KiBzWQllb 2AdEOU3zBJoS3n8yO7Y3Dp4DAnD20VPFmb3I0CelGgp9HBGY4rbFpJwE PbN3SYOok17mgfeVnayG2WQMJ9WLd0Wh5nvW57jTQWsATtb/StNuoU1z cy+3IyJYfTneAUoMRaBPyt7t+BzPdNUXeugwmUPproaaNfa6j2txWpye GoOSxQ==

;; AUTHORITY SECTION:
unbound.net.            7200    IN      NS      ns.secret-wg.org.
unbound.net.            7200    IN      NS      nom-ns1.nominet.org.uk.
unbound.net.            7200    IN      NS      open.nlnetlabs.nl.
unbound.net.            7200    IN      RRSIG   NS 5 2 7200 20100514235007 20100414235007 8114 unbound.net. mBPDftwXh8DH+ryAomYUBHD1+w3NGnR17qOSErUlCz1gbvDMAtisdYoC WWFf2C6hLTa3boJDDxQgzj3K1frGkpg9VlZxp8BuhJdq0xilF2zFdr/Q 0SaRyERBcB1k6cJzsCOniAyIV+/V8LFIZBLXIh3KqT9NaNdWw52ZDm3k JmOnIfGm0eo+P8oBXr3UEUxcuAFj0qFoz1lHnd/jR2of4cQE+/zMjf90 lJ3s/K9pc/6w2BtI8nxi1ZdHl8qd5PKMdDiv2II5poxOsIvor8M4nkSq kjK8MOpPqaHJsU+bNT7p2eFdi0agYsCqyMW8Bm0Fv7Y5qOz/v6K5Xkq4 BbC05Q==

;; ADDITIONAL SECTION:
ns.secret-wg.org.       3600    IN      A       213.154.224.48
open.nlnetlabs.nl.      10200   IN      A       213.154.224.1
open.nlnetlabs.nl.      10200   IN      AAAA    2001:7b8:206:1::53
open.nlnetlabs.nl.      10200   IN      AAAA    2001:7b8:206:1::1
ns.secret-wg.org.       3600    IN      RRSIG   A 5 3 3600 20100426223005 20100327223005 29009 secret-wg.org. R6Y65jXxh9LO/LIYkkYEeJpToaqUzYJAElFCRWitLH1bHa+cUEqhfM8/ SrA38Uic2tJ20JTmSGfraix5K0uutKl0ZhsuqAubUb4fhb+4MclHG7Vd BZQMmR2GA0+KZ+Uh
open.nlnetlabs.nl.      10200   IN      RRSIG   A 5 3 10200 20100513005004 20100415005004 18182 nlnetlabs.nl. Va/f+iYZvECMtFksEXJDLyINIV6dMfrcJHv2q5Oq6HMTlP/RNjOWH3L/ FdxlTLjEoSEtpfsVRsM+XDEzCwA+h0ONHAzuY0axvY55sgK6f4t71vJf 1EqwxXh8xiTs0ifhadgCQTZ3eDnzb+WuDYEyjAEyx0+LcQR3j1PxE8Cq GsE=
open.nlnetlabs.nl.      10200   IN      RRSIG   AAAA 5 3 10200 20100513005004 20100415005004 18182 nlnetlabs.nl. bb4a2ge8ntOP2hE26g02bBQ6JhRIVMHQmaOIbpKRuifMn24RvU/ON3b/ Ztz/w/8d1YGzjTWMKNnFNuZpfSEg1Rs7pIpHAT8ARirfeo8TrK+XkoT9 Rze2ZM8pBIXJdy8oj56fkd/rzgCO3MbSL6PJn4+khSSwi5MZ3cDsS9oK Mro=

;; Query time: 81 msec
;; SERVER: 213.154.224.1#53(213.154.224.1)
;; WHEN: Sat Apr 17 14:16:50 2010
;; MSG SIZE  rcvd: 1344

Точно так же и с корневыми серверами. Если раньше их спрашивали без флага DO, то и отвечать они будут так же без сигнатур. Ни для кого ничего не поменяется.

Те еденицы у кого уже развернут DNS-кеш с поддержкой DNSSEC тоже ничего не заметят так как флаг DO при запросах устанавливается не для всех, а только для тех зон, для которых на кеше вручную установлены (или динамически полученны в процессе работы) публичные ключи для проведения валидации. Сейчас это могут быть только ключи для репозиториев DLV и ITAR, или для тех зон от которых специально вручную получили публичные ключи.

На работу виндовых клиентов это так же не повлияет - они спрашивают только свой кеш сервер и с корневыми никак не общаются.

Короче, спать можно спокойно. Люди занимающиеся внедрением поддержки DNSSEC в глобальной структуре DNS, не зря получают свои зарплаты. Чего нельзя сказать обо всяких Икспертах пишущих про "мыфсеумрем".

forum.lissyara.su

Переход на DNSSEC

Переход на DNSSEC

Re: Переход на DNSSEC

Re: Переход на DNSSEC

Re: Переход на DNSSEC

Re: Переход на DNSSEC

Re: Переход на DNSSEC