[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bind9 vragen

Op 17-07-18 om 12:19 schreef Wouter Verhelst:
> On Sun, Jul 15, 2018 at 01:38:50PM +0200, Paul van der Vlis wrote:

<ik knip af en toe wat weg>

>> O, leuk. Hier in NL heb je wat vaker een vast IP-adres dan in België
>> denk ik. Maar hier rukt het dynamische gebeuren ook op, ahum.
> 
> Not sure. Op Belgacom ADSL loopt veranderde het vroeger zowat elke 24
> uur, "because we can"; geen idee of dat nog het geval is (Belgacom is
> een bende incompetente idioten, dus daar ben ik geen klant van ;-)
> 
> Telenet heeft dat nooit gedaan; wijziging van IP-adres gebeurt daar in
> principe enkel als je een MAC-adres verandert, of een machine meer dan
> een paar minuten uitzet en iemand anders met je IP-adres gaan lopen is,
> of als ze werken aan hun infrastructuur uitvoeren en daardoor de DHCP
> cache gecleared wordt, of dat soort dingen.

Hier in NL heb je aardig wat providers waar je een vast IP krijgt.
Alleen als je dienst veranderd (bijvoorbeeld als je van ADSL naar VDSL
gaat) krijg je een ander IP.

> Als de nameserver niet te vertrouwen is, dan kan die inderdaad foutief
> aangeven dat het DS record niet bestaat -- maar dan moet hij voor DNSSEC
> ook een NSEC of NSEC3 record meegeven, met een RRSIG record daarvoor.
> Dat eerste kan hij; maar dat tweede niet zonder de key van de parent
> nameserver. Die heeft hij niet, dus kan je resolver zien dat er geen
> RRSIG record is of dat de handtekening daarvan niet correct is, en
> gewoon die nameserver overslaan; hetzij door naar de tweede nameserver
> in zijn lijst met geconfigureerde nameservers te gaan, of door een root
> query te doen en zelf een cache op te bouwen.

Hmm, ik begrijp het niet helemaal. Ben ook wat traag soms, ahum.

servfail.nl is een test-domein waar de dnssec validitatie niet in orde
is. Als ik dnssec-validation uit zet op ns2.sociotech.nl en dan doe:
host servfail.nl ns2.sociotech.nl

Dan krijg ik keurig een IP-nummer terug (alleen IPv6 overigens).

Als ns2.sociotech.nl nu ook zou zeggen authoritatief te zijn voor
servfail.nl dan kan hij een verkeerd IP-nummer teruggeven.
Of vergis ik me?

Wellicht moet ik iets omzetten op mijn laptop wat dnssec-validatie eist,
en wat anders een waarschuwing geeft?

>> Ik bedacht me ook nog dat je ook nog een nameserver kunt neerzetten die
>> gewoon niet aan DNSsec doet.
> 
> DNSSEC is normaal gezien transparant voor de nameserver. RRSIG, DS, en
> DNSKEY records zijn ook gewoon records. Er is een manier om een
> nameserver om records te vragen waar die nameserver zelf niet van op de
> hoogte is.

Daar heb je gelijk.

> Een nameserver kan inderdaad DNSSEC blokkeren, en je firewall kan ook
> alle DNS queries naar overal behalve die slechte nameserver blokkeren,
> maar dat valt wel op.

Zou ik mijn firewall moeten instellen om DNS queries naar een bepaalde
nameserver te blokkeren? Dan zou ik toch eerst al moeten weten dat die
nameserver fout is?

> Inderdaad. Ben gisteren ook toevallig overgestapt naar backports bind
> ;-)

Ik nu ook.

Bedankt voor je uitgebreide verhaal over NSEC3, ik ben de materie nog
aan het bestuderen.

> [1] met dien verstande dat NSEC3 hashing met een beetje GPU computing
>     redelijk snel te breken is.

Dat is volgens mij de reden dat het goed is om de ZSK key vaak te
verwisselen. Maar de details ken ik niet.

Groeten,
Paul

-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Reply to: