The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DNSSEC на корневых DNS-серверах будет введён в эксплуатацию 5 мая

30.04.2010 23:38

5 мая состоится ввод в эксплуатацию системы защиты DNS-запросов DNSSEC на 13 головных DNS-серверах (их список можно получить, набрав команду "dig +bufsize=1200 +norec NS . @a.root-servers.net").

Обновление протокола DNS связано с тем, что в нём содержится уязвимость, заложенная в его спецификации, которая позволяет злоумышленнику подменить запись в DNS-кэше имён атакуемого сервера, что позволит нападающему осуществить атаку "man-in-the-middle" и получить данные пользователя, которые он пересылает в сеть (например, пароли доступа, номера кредитных карт и другую не афишируемую информацию). DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы доверяете.

Данное обновление, однако, может послужить причиной прерывания доступа к Интернету в связи с тем, что обычный DNS запрос, отправляемый по протоколу UDP, имеет ограничение в 512 байт, а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что может привести к тому, что неправильно настроенное сетевое оборудование будет отбрасывать столь большие пакеты.

  1. Главная ссылка к новости (http://www.itnews.com.au/News/...)
  2. OpenNews: Использование возможностей DNSSEC
  3. OpenNews: Влияние параметров DNSSEC на производительность DNS серверов
  4. OpenNews: Увидел свет релиз DNS-сервера BIND 9.7.0
  5. OpenNews: Релиз OpenDNSSEC, пакета для автоматизации процесса создания DNSSEC записей
  6. OpenNews: Проект Debian объявил о внедрении DNSSEC
Автор новости: Artem S. Tashkinov
Тип: К сведению
Ключевые слова: DNSSEC, DNS, bind, named, ssl, security, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 07:54, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая >удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы >доверяете.

    так это резолвер на клиентене должен проверять или как?

     
  • 1.3, PavelR (??), 08:36, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
    >может привести к тому, что неправильно настроенное сетевое оборудование будет
    >отбрасывать столь большие пакеты.

    Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт, а тут "пакет с ответом - 2048".

     
     
  • 2.4, Анон (?), 08:42, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
    >>может привести к тому, что неправильно настроенное сетевое оборудование будет
    >>отбрасывать столь большие пакеты.
    >
    >Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт,
    >а тут "пакет с ответом - 2048".

    Так ты определись про что именно говришь: про Ethernet-кадр или UDP-пакет?
    К.О. сообщает: Ethernet просто физический транспорт, DNSSEC чихать хотел по чему он передается физически

     
     
  • 3.7, ws (ok), 09:38, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
    Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер одного кадра эзернет...
     
     
  • 4.8, аноним (?), 10:11, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
    >
    >Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер
    >одного кадра эзернет...

    Во-первых это ерунда, во-вторых скоро ipv6.

     
  • 4.15, azure (ok), 22:56, 02/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько надо - столько и должно передаваться. С другой стороны - я не вижу необходимости в днссек. Это все слишком усложняет, имхо.

    кстати на оптических магистралях MTU вообще другой. Эзернет это последняя миля как правило.

     
     
  • 5.20, XoRe (ok), 15:15, 04/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Сколько надо - столько и должно передаваться. С другой стороны - я
    >не вижу необходимости в днссек. Это все слишком усложняет, имхо.

    Конечно усложняет.
    ssl шифрование тоже много чего усложняет.
    Вашей кредиткой кто-то другой никогда "внезапно" не оплачивал iphone?

    >кстати на оптических магистралях MTU вообще другой.

    Вы про jumbo frames?)

     
     
  • 6.22, PavelR (??), 07:53, 05/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    он про Frame Relay
     
  • 3.9, PavelR (??), 11:03, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    DNSSEC-у то конечно чихать :-) Ровно как и промежуточным рутерам, к чему это приводит - я думаю все в курсе.

    Пакет он пакет есть и пакетом и будет. Не путайте пакет и сообщение. Пакет от этого размером 2048 байт не станет (ну, точнее не должен бы стать, иначе фиг где пролезет).
    Или кто-то где-то надеется, что рутера махом возьмут и начнут делать фрагментацию/пересборку(reassembly) дейтаграмм ?

     
     
  • 4.11, минона (?), 14:11, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    2-а (подряд) ответа от корбины:
    >$ dig +bufsize=1024 rs.dns-oarc.net txt

    ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached
    >$ dig +bufsize=1024 rs.dns-oarc.net txt

    ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51861
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
    ;; QUESTION SECTION:
    ;rs.dns-oarc.net. IN TXT
    ;; ANSWER SECTION:
    rs.dns-oarc.net. 32 IN CNAME rst.x476.rs.dns-oarc.net.
    rst.x476.rs.dns-oarc.net. 31 IN CNAME rst.x485.x476.rs.dns-oarc.net.
    rst.x485.x476.rs.dns-oarc.net. 30 IN CNAME rst.x490.x485.x476.rs.dns-oarc.net.
    rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 lacks EDNS, defaults to 512"
    rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "Tested at 2010-05-01 10:08:00 UTC"
    rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 DNS reply size limit is at least 490"
    ;; Query time: 15 msec
    ;; SERVER: 192.168.1.1#53(192.168.1.1)
    ;; WHEN: Sat May  1 14:08:28 2010
    ;; MSG SIZE  rcvd: 267

     
     
  • 5.13, Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok), 21:08, 02/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    $ dig +bufsize=1024 rs.dns-oarc.net txt

    ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6601
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1280
    ;; QUESTION SECTION:
    ;rs.dns-oarc.net. IN TXT

    ;; ANSWER SECTION:
    rs.dns-oarc.net. 60 IN CNAME rst.x1002.rs.dns-oarc.net.
    rst.x1002.rs.dns-oarc.net. 59 IN CNAME rst.x1957.x1002.rs.dns-oarc.net.
    rst.x1957.x1002.rs.dns-oarc.net. 58 IN CNAME rst.x2443.x1957.x1002.rs.dns-oarc.net.
    rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 2443"
    rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
    rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:04:57 UTC"

    ;; AUTHORITY SECTION:
    x2443.x1957.x1002.rs.dns-oarc.net. 57 IN NS ns00.x2443.x1957.x1002.rs.dns-oarc.net.

    ;; ADDITIONAL SECTION:
    ns00.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN A 149.20.58.136

    ;; Query time: 4482 msec
    ;; SERVER: 192.168.0.6#53(192.168.0.6)
    ;; WHEN: Sun May  2 23:04:57 2010
    ;; MSG SIZE  rcvd: 312

     
     
  • 6.14, Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok), 21:09, 02/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    $ dig +bufsize=1024 rs.dns-oarc.net txt

    ; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34024
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1280
    ;; QUESTION SECTION:
    ;rs.dns-oarc.net. IN TXT

    ;; ANSWER SECTION:
    rs.dns-oarc.net. 60 IN CNAME rst.x2027.rs.dns-oarc.net.
    rst.x2027.rs.dns-oarc.net. 59 IN CNAME rst.x3837.x2027.rs.dns-oarc.net.
    rst.x3837.x2027.rs.dns-oarc.net. 58 IN CNAME rst.x3843.x3837.x2027.rs.dns-oarc.net.
    rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 3843"
    rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
    rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:08:55 UTC"

    ;; AUTHORITY SECTION:
    x3843.x3837.x2027.rs.dns-oarc.net. 57 IN NS ns00.x3843.x3837.x2027.rs.dns-oarc.net.

    ;; ADDITIONAL SECTION:
    ns00.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN A 149.20.58.136

    ;; Query time: 2376 msec
    ;; SERVER: 192.168.0.6#53(192.168.0.6)
    ;; WHEN: Sun May  2 23:08:55 2010
    ;; MSG SIZE  rcvd: 312

     
  • 2.19, Анон (?), 08:03, 04/05/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не пролезет по мту - разрежут, пронумеруют, отправят. на той стороне соберут и обработают. учите матчасть. ну пожалуйста.
     

  • 1.5, KKonstantin (?), 09:08, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну почему ж всегда пугают, то проблемой 2k, то сейчас dnssec?

    http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues

     
  • 1.6, Аноним (-), 09:14, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    https://www.dns-oarc.net/oarc/services/replysizetest
    тут можно прочитать как потестить вашу текущую конфигурацию, будет ли она работать после изменния
     
  • 1.10, terminus (ok), 12:53, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я не понимаю откуда эта паника по поводу размеров ответов? DNS сервер будет давать ответы с сигнатурами внутри только тогда, когда в запросе на разрешение был установлен флаг DO. Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур. От того, что "завтра" введут DNSSEC на корне, ничего нигде не изменится.

     
     
  • 2.12, filosofem (ok), 15:48, 01/05/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его просто дропнет как ошибочный или зловредный.
    Как пример, OpenWRT раньше дропала пакет, если во входящем SYN-е не указан MSS, потому что когда-то много лет назад такими пакетами кто-то кого-то досил. И все было нормально, пока не попытался к ней подключиться по ssh из Windows 7, которая как раз не указывает MSS и ошибкой это не является.
    В чем было дело разбирался несколько часов. Правило если не ошибаюсь было вот такое:
    iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option \! 2 -j  DROP

    Я к тому, что никто не гарантирует, что где-то не используются правила, запрещающие большие DNS-ответы. Об этом нам и говорят в новости.

    А паника это от как обычно от непонимания. =)

     
     
  • 3.16, Аноним (-), 12:46, 03/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь
    >параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его
    >просто дропнет как ошибочный или зловредный.
    >Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур.

    КАК он его увидит ?

     
     
  • 4.17, filosofem (ok), 16:43, 03/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Кто кого увидит? Определись, что узнать хочешь, или научись вопросы задавать.
    Если про DNS-ответ, его могут определять по номеру порта источника для примера.
     

  • 1.21, XoRe (ok), 15:23, 04/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще это можно и нужно, в первую очередь, провайдерам.
    Так как обычно клиентам прописываются DNS серверы провайдера.
    И "отравление" кэша DNS серверов у провайдера приведет к проблемам у клиента.
    Учитывая сложность перевода на DNSSEC вообще всех (особенно роутеры и винды), DNS общение между клиентом и провайдером можно попробовать оставить по старинке, plain-text'ом)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру