Czy moja sieć jest gotowa na DNSSEC?
Aby sprawdzić czy twoja sieć jest przygotowana na DNSSEC, zapoznaj się z poniższym poradnikiem i przeprowadź proponowane testy. Do testów wykorzystaj polecenie dig z pakietu BIND, dostępnego również dla systemów Windows, do pobrania na stronie www.isc.org.
Podstawowy test możesz przeprowadzić, wykonując poniższe polecenie:
$ dig +short rs.dns-oarc.net txt rst.x3827.rs.dns-oarc.net. rst.x3837.x3827.rs.dns-oarc.net. rst.x3843.x3837.x3827.rs.dns-oarc.net. "127.0.0.1 sent EDNS buffer size 4096" "127.0.0.1 DNS reply size limit is at least 3843" "Tested at 2012-04-03 10:48:03 UTC"
Dzięki serwerom OARC dowiesz się, jak duże pakiety DNS UDP docierają do resolvera. Opis działania znajdziesz na tej stronie.
Pełen zestaw testów wraz z opisami:
-
Test podstawowy
Aby być pewnym wyników kolejnych testów należy sprawdzić, czy działają podstawowe zapytania DNS. W tym celu zadaj zapytanie do jednego z root serwerów o rekordy NS dla strefy root:
$ dig +nodnssec +norec +ignore ns . @L.ROOT-SERVERS.NET ; <<>> DiG <<>> +nodnssec +norec +ignore ns . @L.ROOT-SERVERS.NET ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4246 ;; flags: qr aa; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 15 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518400 IN NS a.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS d.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS k.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS m.root-servers.net. ;; ADDITIONAL SECTION: a.root-servers.net. 518400 IN A 198.41.0.4 b.root-servers.net. 518400 IN A 192.228.79.201 c.root-servers.net. 518400 IN A 192.33.4.12 d.root-servers.net. 518400 IN A 128.8.10.90 e.root-servers.net. 518400 IN A 192.203.230.10 f.root-servers.net. 518400 IN A 192.5.5.241 g.root-servers.net. 518400 IN A 192.112.36.4 h.root-servers.net. 518400 IN A 128.63.2.53 i.root-servers.net. 518400 IN A 192.36.148.17 j.root-servers.net. 518400 IN A 192.58.128.30 k.root-servers.net. 518400 IN A 193.0.14.129 l.root-servers.net. 518400 IN A 199.7.83.42 m.root-servers.net. 518400 IN A 202.12.27.33 a.root-servers.net. 518400 IN AAAA 2001:503:ba3e::2:30 d.root-servers.net. 518400 IN AAAA 2001:500:2d::d ;; Query time: 52 msec ;; SERVER: 199.7.83.42#53(199.7.83.42) ;; WHEN: Tue Apr 3 13:10:16 2012 ;; MSG SIZE rcvd: 492
-
Test rozmiaru pakietu UDP
Sprawdź, czy twój system jest w stanie przyjąć odpowiedź UDP większą niż 512 bajtów. Dzięki temu testowi dowiesz się, czy firewalle po drodze nie blokują pakietów UDP większych niż 512 bajtów. Większość podpisanych odpowiedzi zmieści się w 1500 bajtach i zostanie do ciebie wysłana w postaci jednego, niepofragmentowanego pakietu UDP. Żeby to sprawdzić zapytaj jeden z serwerów root o podpisaną odpowiedź:
$ dig +dnssec +norec +ignore +multi ns . @L.ROOT-SERVERS.NET ; <<>> DiG <<>> +dnssec +norec +ignore +multi ns . @L.ROOT-SERVERS.NET ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41274 ;; flags: qr aa; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 23 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518400 IN NS a.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS d.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS k.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS m.root-servers.net. . 518400 IN RRSIG NS 8 0 518400 20120410000000 ( 20120402230000 56158 . VaRaHoE9vshFaOZeFUfnWFQ8CZxbjaCWlviT6vQEDL26 RYrR27A3ErimjJy6HMEA98VSbPIuQxsdYD8S9TVMBz89 PBEPZj9lgJiiPb4LkAV96dWBtsbzzX1e8adcEAsBGrtK WSXs6uu4TTQRzkmham5fR+xCRWJq2Nroj4gTFWc= ) ;; ADDITIONAL SECTION: a.root-servers.net. 518400 IN A 198.41.0.4 b.root-servers.net. 518400 IN A 192.228.79.201 c.root-servers.net. 518400 IN A 192.33.4.12 d.root-servers.net. 518400 IN A 128.8.10.90 e.root-servers.net. 518400 IN A 192.203.230.10 f.root-servers.net. 518400 IN A 192.5.5.241 g.root-servers.net. 518400 IN A 192.112.36.4 h.root-servers.net. 518400 IN A 128.63.2.53 i.root-servers.net. 518400 IN A 192.36.148.17 j.root-servers.net. 518400 IN A 192.58.128.30 k.root-servers.net. 518400 IN A 193.0.14.129 l.root-servers.net. 518400 IN A 199.7.83.42 m.root-servers.net. 518400 IN A 202.12.27.33 a.root-servers.net. 518400 IN AAAA 2001:503:ba3e::2:30 d.root-servers.net. 518400 IN AAAA 2001:500:2d::d f.root-servers.net. 518400 IN AAAA 2001:500:2f::f h.root-servers.net. 518400 IN AAAA 2001:500:1::803f:235 i.root-servers.net. 518400 IN AAAA 2001:7fe::53 j.root-servers.net. 518400 IN AAAA 2001:503:c27::2:30 k.root-servers.net. 518400 IN AAAA 2001:7fd::1 l.root-servers.net. 518400 IN AAAA 2001:500:3::42 m.root-servers.net. 518400 IN AAAA 2001:dc3::35 ;; Query time: 38 msec ;; SERVER: 199.7.83.42#53(199.7.83.42) ;; WHEN: Tue Apr 3 13:12:28 2012 ;; MSG SIZE rcvd: 857 -
Test fragmentacji
Kolejnym krokiem jest sprawdzenie, czy twój system przyjmuje pakiety UDP większe niż 1500 bajtów. Takie pakiety ze względu na ustawienia sieci mogą zostać pofragmentowane, czego efektem może być blokowanie takiego ruchu przez firewalle. Zapytanie o rekord ANY zwróci pakiet większy niż 1500 bajtów.
$ dig +dnssec +norec +ignore +multi any . @L.ROOT-SERVERS.NET ; <<>> DiG <<>> +dnssec +norec +ignore +multi any . @L.ROOT-SERVERS.NET ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64562 ;; flags: qr aa; QUERY: 1, ANSWER: 22, AUTHORITY: 0, ADDITIONAL: 23 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;. IN ANY ;; ANSWER SECTION: . 518400 IN NS a.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS d.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS k.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS m.root-servers.net. . 518400 IN RRSIG NS 8 0 518400 20120410000000 ( 20120402230000 56158 . VaRaHoE9vshFaOZeFUfnWFQ8CZxbjaCWlviT6vQEDL26 RYrR27A3ErimjJy6HMEA98VSbPIuQxsdYD8S9TVMBz89 PBEPZj9lgJiiPb4LkAV96dWBtsbzzX1e8adcEAsBGrtK WSXs6uu4TTQRzkmham5fR+xCRWJq2Nroj4gTFWc= ) . 172800 IN DNSKEY 256 3 8 ( AwEAAZ/NErKzyMlImJ+2HTmK9qeH2sLUywlsF+mJbTP5 GKoYFHoU2vn2Zqr261Lk7a6jfBKYny5GX7BDRJcVvig3 6TgOinE9QP5KVS0RxdrOl98gKLwFMORfNf/wjCwjPdEl 1GgaGYl0npJ4c+x+o6aa/xmDKJo9zUlpvb7BLxbJ7HwF ) ; key id = 51201 . 172800 IN DNSKEY 256 3 8 ( AwEAAbd0IPTQdvyndWSX6HHcB+JycMl1aCGTHSJUBs/y 9S93el05VvXg1VqSF4vveB9rEuAZ1z8RNWZ9ac+rlaK7 PrI5RlCIyKKPbtHbpgQGkwai8O6BZ4J/ch7DGuhGJfvo ECcWjsucs683WFRtmfLx5WNdPxxi30Czt1zPqMWfY6YJ ) ; key id = 56158 . 172800 IN DNSKEY 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ) ; key id = 19036 . 172800 IN RRSIG DNSKEY 8 0 172800 20120415235959 ( 20120401000000 19036 . ly6pyLFGPrPjLaG4nNttLQsbczbF/TFAtyU305vIMJth W2Afx1OHwWCFT8zGf/g7WiqaLSEdK8M0H6tf5pf9lCFD j0H9nLBlYTiRrZ+7BE8/lUP99hUiSxa9KakTkBUYH0Cw /DnQ+h0Dl8ew/+QsaO4SKTJL+c1KdV3xjkYGjr6O9RUx SIMmgA39DSNM7hzNdRU4O4iujJ6ZI8zrHjnkX3GmRlEr dRyMb33CMcvC2DvIvZmkwYED/T1IVuQQhiqOAYyfMpVx NnbZVlsxPkeHtE5v1DDcTXGY7cREd2D7Uu1gOrR7AlQG 5CITlNisjAc5U/Yp1fzA0wbmJnWCtCSYgA== ) . 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY . 86400 IN RRSIG NSEC 8 0 86400 20120410000000 ( 20120402230000 56158 . HFihpTQxqsMwZnADbG9pFtW+V/0D8Idx+uvyQm5OoPfC KKs7KdvP9p80LZdsRglnD5HbpvNjsyuyEz5XnZ+wa5wR iCeLpOPsez8bt3tq1A+wbSSttKiwPjJHwKVVBE87HRQZ NXBP9elrahYHZJziXi6bwBBwD+fto62Ph3D7bIc= ) . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2012040300 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) . 86400 IN RRSIG SOA 8 0 86400 20120410000000 ( 20120402230000 56158 . nWwym1VLQxy87p6vVpQ0n1diSbpiWI0Zmc5TwT0hMFso v3iNdJxaTfjcA/HBlsNaHkD7xK71TNYqyCCqU+rNRATv N7SSiKS5Q15Ka4Dbv2NYv1HGkzXPCtuK54bH5B3URpLD qh6X4Ga6t2Dw88OEu2T+nW4nVtyYvn8h56tOZoE= ) ;; ADDITIONAL SECTION: a.root-servers.net. 518400 IN A 198.41.0.4 b.root-servers.net. 518400 IN A 192.228.79.201 c.root-servers.net. 518400 IN A 192.33.4.12 d.root-servers.net. 518400 IN A 128.8.10.90 e.root-servers.net. 518400 IN A 192.203.230.10 f.root-servers.net. 518400 IN A 192.5.5.241 g.root-servers.net. 518400 IN A 192.112.36.4 h.root-servers.net. 518400 IN A 128.63.2.53 i.root-servers.net. 518400 IN A 192.36.148.17 j.root-servers.net. 518400 IN A 192.58.128.30 k.root-servers.net. 518400 IN A 193.0.14.129 l.root-servers.net. 518400 IN A 199.7.83.42 m.root-servers.net. 518400 IN A 202.12.27.33 a.root-servers.net. 518400 IN AAAA 2001:503:ba3e::2:30 d.root-servers.net. 518400 IN AAAA 2001:500:2d::d f.root-servers.net. 518400 IN AAAA 2001:500:2f::f h.root-servers.net. 518400 IN AAAA 2001:500:1::803f:235 i.root-servers.net. 518400 IN AAAA 2001:7fe::53 j.root-servers.net. 518400 IN AAAA 2001:503:c27::2:30 k.root-servers.net. 518400 IN AAAA 2001:7fd::1 l.root-servers.net. 518400 IN AAAA 2001:500:3::42 m.root-servers.net. 518400 IN AAAA 2001:dc3::35 ;; Query time: 48 msec ;; SERVER: 199.7.83.42#53(199.7.83.42) ;; WHEN: Tue Apr 3 13:14:08 2012 ;; MSG SIZE rcvd: 2109 -
Test pakietu TCP
Ostatnim krokiem jest sprawdzenie, czy twój system jest w stanie nawiązać połączenie TCP, jeżeli połączenie przy pomocy UDP zawiedzie. Odpowiedź DNS na to zapytanie będzie wyglądać tak samo, jak na zapytanie z pkt 3. Jedyna różnica to czas odpowiedzi.
$ dig +dnssec +norec +vc +multi any . @L.ROOT-SERVERS.NET ; <<>> DiG <<>> +dnssec +norec +vc +multi any . @L.ROOT-SERVERS.NET ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16156 ;; flags: qr aa; QUERY: 1, ANSWER: 22, AUTHORITY: 0, ADDITIONAL: 23 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;. IN ANY ;; ANSWER SECTION: . 518400 IN NS a.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS d.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS k.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS m.root-servers.net. . 518400 IN RRSIG NS 8 0 518400 20120410000000 ( 20120402230000 56158 . VaRaHoE9vshFaOZeFUfnWFQ8CZxbjaCWlviT6vQEDL26 RYrR27A3ErimjJy6HMEA98VSbPIuQxsdYD8S9TVMBz89 PBEPZj9lgJiiPb4LkAV96dWBtsbzzX1e8adcEAsBGrtK WSXs6uu4TTQRzkmham5fR+xCRWJq2Nroj4gTFWc= ) . 172800 IN DNSKEY 256 3 8 ( AwEAAZ/NErKzyMlImJ+2HTmK9qeH2sLUywlsF+mJbTP5 GKoYFHoU2vn2Zqr261Lk7a6jfBKYny5GX7BDRJcVvig3 6TgOinE9QP5KVS0RxdrOl98gKLwFMORfNf/wjCwjPdEl 1GgaGYl0npJ4c+x+o6aa/xmDKJo9zUlpvb7BLxbJ7HwF ) ; key id = 51201 . 172800 IN DNSKEY 256 3 8 ( AwEAAbd0IPTQdvyndWSX6HHcB+JycMl1aCGTHSJUBs/y 9S93el05VvXg1VqSF4vveB9rEuAZ1z8RNWZ9ac+rlaK7 PrI5RlCIyKKPbtHbpgQGkwai8O6BZ4J/ch7DGuhGJfvo ECcWjsucs683WFRtmfLx5WNdPxxi30Czt1zPqMWfY6YJ ) ; key id = 56158 . 172800 IN DNSKEY 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ) ; key id = 19036 . 172800 IN RRSIG DNSKEY 8 0 172800 20120415235959 ( 20120401000000 19036 . ly6pyLFGPrPjLaG4nNttLQsbczbF/TFAtyU305vIMJth W2Afx1OHwWCFT8zGf/g7WiqaLSEdK8M0H6tf5pf9lCFD j0H9nLBlYTiRrZ+7BE8/lUP99hUiSxa9KakTkBUYH0Cw /DnQ+h0Dl8ew/+QsaO4SKTJL+c1KdV3xjkYGjr6O9RUx SIMmgA39DSNM7hzNdRU4O4iujJ6ZI8zrHjnkX3GmRlEr dRyMb33CMcvC2DvIvZmkwYED/T1IVuQQhiqOAYyfMpVx NnbZVlsxPkeHtE5v1DDcTXGY7cREd2D7Uu1gOrR7AlQG 5CITlNisjAc5U/Yp1fzA0wbmJnWCtCSYgA== ) . 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY . 86400 IN RRSIG NSEC 8 0 86400 20120410000000 ( 20120402230000 56158 . HFihpTQxqsMwZnADbG9pFtW+V/0D8Idx+uvyQm5OoPfC KKs7KdvP9p80LZdsRglnD5HbpvNjsyuyEz5XnZ+wa5wR iCeLpOPsez8bt3tq1A+wbSSttKiwPjJHwKVVBE87HRQZ NXBP9elrahYHZJziXi6bwBBwD+fto62Ph3D7bIc= ) . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2012040300 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) . 86400 IN RRSIG SOA 8 0 86400 20120410000000 ( 20120402230000 56158 . nWwym1VLQxy87p6vVpQ0n1diSbpiWI0Zmc5TwT0hMFso v3iNdJxaTfjcA/HBlsNaHkD7xK71TNYqyCCqU+rNRATv N7SSiKS5Q15Ka4Dbv2NYv1HGkzXPCtuK54bH5B3URpLD qh6X4Ga6t2Dw88OEu2T+nW4nVtyYvn8h56tOZoE= ) ;; ADDITIONAL SECTION: a.root-servers.net. 518400 IN A 198.41.0.4 b.root-servers.net. 518400 IN A 192.228.79.201 c.root-servers.net. 518400 IN A 192.33.4.12 d.root-servers.net. 518400 IN A 128.8.10.90 e.root-servers.net. 518400 IN A 192.203.230.10 f.root-servers.net. 518400 IN A 192.5.5.241 g.root-servers.net. 518400 IN A 192.112.36.4 h.root-servers.net. 518400 IN A 128.63.2.53 i.root-servers.net. 518400 IN A 192.36.148.17 j.root-servers.net. 518400 IN A 192.58.128.30 k.root-servers.net. 518400 IN A 193.0.14.129 l.root-servers.net. 518400 IN A 199.7.83.42 m.root-servers.net. 518400 IN A 202.12.27.33 a.root-servers.net. 518400 IN AAAA 2001:503:ba3e::2:30 d.root-servers.net. 518400 IN AAAA 2001:500:2d::d f.root-servers.net. 518400 IN AAAA 2001:500:2f::f h.root-servers.net. 518400 IN AAAA 2001:500:1::803f:235 i.root-servers.net. 518400 IN AAAA 2001:7fe::53 j.root-servers.net. 518400 IN AAAA 2001:503:c27::2:30 k.root-servers.net. 518400 IN AAAA 2001:7fd::1 l.root-servers.net. 518400 IN AAAA 2001:500:3::42 m.root-servers.net. 518400 IN AAAA 2001:dc3::35 ;; Query time: 107 msec ;; SERVER: 199.7.83.42#53(199.7.83.42) ;; WHEN: Tue Apr 3 13:15:11 2012 ;; MSG SIZE rcvd: 2109
Jeżeli któryś z powyższych testów nie powiedzie się, nie możesz mieć pewności, że będziesz mógł w pełni korzystać z możliwości jakie oferuje DNSSEC. W takiej sytuacji skontaktuj się z twoim dostawcą Internetu.