DNSSEC + Validierung

04/01/2010 - 09:40 von Friedemann Stoyan | Report spam
Hallo Kollegen,

da es wohl jetzt einen Fahrplan für die Einführung von DNSSEC gibt
<http://www.root-dnssec.org/>, habe ich auf meinem Resolver DNSSEC +
Validierung eingeschaltet. Technisch funktioniert auch alles einwandfrei,
große Teile - besonders Reverszonen - sind aus dem DNS 'verschwunden'. Nur ein
Beispiel:

$ dig -x 217.91.162.165

; <<>> DiG 9.5.1-P3 <<>> -x 217.91.162.165
;; global options: printcmd
;; connection timed out; no servers could be reached

$ dig +cd -x 217.91.162.165

; <<>> DiG 9.5.1-P3 <<>> +cd -x 217.91.162.165
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33874
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;165.162.91.217.in-addr.arpa. IN PTR

;; ANSWER SECTION:
165.162.91.217.in-addr.arpa. 172773 IN PTR pd95ba2a5.dip0.t-ipconnect.de.

;; AUTHORITY SECTION:
162.91.217.in-addr.arpa. 172773 IN NS secondary007.dtag.net.
162.91.217.in-addr.arpa. 172773 IN NS pns.dtag.de.

;; Query time: 4 msec
;; SERVER: ::1#53(::1)
;; WHEN: Mon Jan 4 09:26:56 2010
;; MSG SIZE rcvd: 146

Ich habe jetzt also die Wahl zwischen "alles wie immer" oder Validierung aber
nur noch eine Teilmenge. Deswegen meine Frage: Wie haltet Ihr das?

mfg Friedemann
 

Lesen sie die antworten

#1 Henning Hucke
04/01/2010 - 10:25 | Warnen spam
On Mon, 4 Jan 2010, Friedemann Stoyan wrote:

Hallo Kollegen,

da es wohl jetzt einen Fahrplan für die Einführung von DNSSEC gibt
<http://www.root-dnssec.org/>, habe ich auf meinem Resolver DNSSEC +
Validierung eingeschaltet. Technisch funktioniert auch alles einwandfrei,
große Teile - besonders Reverszonen - sind aus dem DNS 'verschwunden'. Nur ein
Beispiel:
[...]
Ich habe jetzt also die Wahl zwischen "alles wie immer" oder Validierung aber
nur noch eine Teilmenge. Deswegen meine Frage: Wie haltet Ihr das?



Hallo,

Du hast nicht geschreiben, mit welcher Server-Software Du arbeitest. Ich
unterstelle Bind.

Bei Bind kannst Du DNSSEC anschalten, ohne dass nicht signierte oder nicht
korrekt verifizierbare Zonen/RR-Sets ausgeblendet werden. Die Doku zu
Bind wird Dir die entsprechende Auskunft geben.

Das behindert nicht das normale Funktionieren von Software, die nicht
DNSSEC aware ist, erlaubt aber Applikationen, die DNSSEC beherrschen, die
Informationen der nameserver replys auszuwerten, eben auch genau die, ob
die gelieferten Daten mittels DNSSEC verifiziert werden konnten.

Das Ausblenden von nicht signierten Bereichen sollte man erst in ein paar
Jahren anschalten, wenn nicht signierte Zonen tatsàchlich ein Hinweis auf
unlautere Absichten sind.

MfG Henning Hucke
Der Optimist ist in der Regel ein Zeitgenosse, der ungenügend informiert ist.
(John B. Priestly)

Ähnliche fragen