Avez-vous activé DNSSEC sur le serveur DNS ? Si ce n'est pas le cas, découvrez comment activer DNSSEC sur un serveur DNS basé sur la liaison. Une fois que vous avez installé et configuré DNSSEC validant le serveur DNS sécurisé, assurez-vous de le tester correctement. En tant qu'administrateur, voici les tests de base que vous devez effectuer après avoir configuré le serveur DNS compatible DNSSEC. Assurez-vous que les domaines DNS qui sont signés DNSSEC sont validés correctement en signalant l'indicateur de données authentifiées (AD) et que les domaines DNS avec DNSSEC cassé ne sont pas validés avec SERVFAIL. Cependant, le résolveur doit résoudre normalement les domaines non DNSSEC. Nous verrons comment valider DNSSEC en utilisant à la fois la commande et le service Web.
Comment valider les domaines signés DNSSEC à l'aide de dig ?
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
Testons maintenant un domaine signé DNSSEC !
$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssectest.sidn.nl. IN A ;; ANSWER SECTION: dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl. dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 ( 20131114071501 42033 sidn.nl. oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= ) www.sidn.nl. 10466 IN A 213.136.31.220 www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 ( 20131113071501 42033 sidn.nl. QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= ) ;; Query time: 1610 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:43:14 2013 ;; MSG SIZE rcvd: 415
Dans la sortie ci-dessus, recherchez les données authentifiées (AD) définies dans FLAGS. La demande de domaine DNS signé DNSSEC avec l'indicateur DO défini (qui est DNSSEC OK) doit fournir un indicateur de réponse authentifiée (AD) défini dans l'en-tête.
Validation du domaine DNSSEC cassé ou mal configuré
$ dig dnssec-or-not.org +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec-or-not.org. IN A ;; Query time: 334 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:46:32 2013 ;; MSG SIZE rcvd: 46
Essayer de résoudre un domaine qui a des problèmes DNSSEC devrait renvoyer SERVFAIL comme code de retour dans l'en-tête. Recherchez SERVFAIL dans la sortie ci-dessus.
La validation d'un domaine signé non-DNSSEC devrait se résoudre normalement
$ dig espncricinfo.com +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;espncricinfo.com. IN A ;; ANSWER SECTION: espncricinfo.com. 102 IN A 80.168.92.141 ;; Query time: 431 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:51:12 2013 ;; MSG SIZE rcvd: 61
Essayer de résoudre un domaine qui n'est pas signé DNSSEC devrait se résoudre normalement. Pourquoi espncricinfo.com ? Eh bien, je regardais le dernier et 200e match test de Sachin Tendulkar contre les Antilles. Quelle légende !
Quelques services Web pour les tests DNSSEC
DNSVIZ
Il s'agit d'un service Web permettant de visualiser l'état d'une zone DNS. Il vous aide à comprendre et à résoudre les problèmes de déploiement DNSSEC en fournissant une analyse visuelle de la chaîne d'authentification DNSSEC et de son chemin de résolution. L'outil est capable de lister les erreurs de configuration lors du processus de validation.
Commander DNSVIZ.
ZoneCheck
ZoneCheck est un outil simple qui vous permet de découvrir et de résoudre les erreurs de configuration DNS. Il vérifie la zone pour les configurations incorrectes ou les incohérences (dues à la latence de l'application) et génère un rapport.
Vérifiez ZoneCheck.SecSpider de Verisign
SecSpider surveille les métriques de déploiement de DNSSEC, les métriques de disponibilité, les métriques de vérifiabilité, les métriques de validation, etc…
Vérifiez SecSpider.
Et plus…
* Verisign Labs a développé "DNSSEC or not?" validateur. Payez ici.
* SIDN a développé « Êtes-vous un DNSSEC protégé ? » – Commander ici.
* ICSI Netalyzer, un outil de test de réseau, qui inclut également la validation DNSSEC – Commander ici.
* Un modèle similaire de l'Université de Düsseldorf, en Allemagne – Commander ici.
LIRE :Guide du débutant sur DNSSEC
LIRE :Comment configurer DNSSEC sur Bind ?