Re: Bind9 vragen
On Wed, Jul 18, 2018 at 11:10:44AM +0200, Paul van der Vlis wrote:
> Op 17-07-18 om 12:19 schreef Wouter Verhelst:
> > On Sun, Jul 15, 2018 at 01:38:50PM +0200, Paul van der Vlis wrote:
>
> <ik knip af en toe wat weg>
>
> >> O, leuk. Hier in NL heb je wat vaker een vast IP-adres dan in België
> >> denk ik. Maar hier rukt het dynamische gebeuren ook op, ahum.
> >
> > Not sure. Op Belgacom ADSL loopt veranderde het vroeger zowat elke 24
> > uur, "because we can"; geen idee of dat nog het geval is (Belgacom is
> > een bende incompetente idioten, dus daar ben ik geen klant van ;-)
> >
> > Telenet heeft dat nooit gedaan; wijziging van IP-adres gebeurt daar in
> > principe enkel als je een MAC-adres verandert, of een machine meer dan
> > een paar minuten uitzet en iemand anders met je IP-adres gaan lopen is,
> > of als ze werken aan hun infrastructuur uitvoeren en daardoor de DHCP
> > cache gecleared wordt, of dat soort dingen.
>
> Hier in NL heb je aardig wat providers waar je een vast IP krijgt.
> Alleen als je dienst veranderd (bijvoorbeeld als je van ADSL naar VDSL
> gaat) krijg je een ander IP.
>
> > Als de nameserver niet te vertrouwen is, dan kan die inderdaad foutief
> > aangeven dat het DS record niet bestaat -- maar dan moet hij voor DNSSEC
> > ook een NSEC of NSEC3 record meegeven, met een RRSIG record daarvoor.
> > Dat eerste kan hij; maar dat tweede niet zonder de key van de parent
> > nameserver. Die heeft hij niet, dus kan je resolver zien dat er geen
> > RRSIG record is of dat de handtekening daarvan niet correct is, en
> > gewoon die nameserver overslaan; hetzij door naar de tweede nameserver
> > in zijn lijst met geconfigureerde nameservers te gaan, of door een root
> > query te doen en zelf een cache op te bouwen.
>
> Hmm, ik begrijp het niet helemaal. Ben ook wat traag soms, ahum.
>
> servfail.nl is een test-domein waar de dnssec validitatie niet in orde
> is.
All bets are off, dan. Als het domein niet valideert voor DNSSEC, dan
loopt alles fout, of het nu juiste of foute informatie is.
> Als ik dnssec-validation uit zet op ns2.sociotech.nl en dan doe:
> host servfail.nl ns2.sociotech.nl
>
> Dan krijg ik keurig een IP-nummer terug (alleen IPv6 overigens).
>
> Als ns2.sociotech.nl nu ook zou zeggen authoritatief te zijn voor
> servfail.nl dan kan hij een verkeerd IP-nummer teruggeven.
> Of vergis ik me?
Nee, dat klopt. Maar DNSSEC kan daar uiteraard ook niks aan doen.
> Wellicht moet ik iets omzetten op mijn laptop wat dnssec-validatie eist,
> en wat anders een waarschuwing geeft?
>
> >> Ik bedacht me ook nog dat je ook nog een nameserver kunt neerzetten die
> >> gewoon niet aan DNSsec doet.
> >
> > DNSSEC is normaal gezien transparant voor de nameserver. RRSIG, DS, en
> > DNSKEY records zijn ook gewoon records. Er is een manier om een
> > nameserver om records te vragen waar die nameserver zelf niet van op de
> > hoogte is.
>
> Daar heb je gelijk.
>
> > Een nameserver kan inderdaad DNSSEC blokkeren, en je firewall kan ook
> > alle DNS queries naar overal behalve die slechte nameserver blokkeren,
> > maar dat valt wel op.
>
> Zou ik mijn firewall moeten instellen om DNS queries naar een bepaalde
> nameserver te blokkeren? Dan zou ik toch eerst al moeten weten dat die
> nameserver fout is?
Je begrijpt me verkeerd :-)
Als je in je voorgestelde koffiehuis zit, en de router van dat
koffiehuis firewallt alle DNS requests weg tenzij die naar de nameserver
die in het DHCP response zit, én die nameserver in het DHCP response
blokkeert requests naar DNSSEC-related RRs, dan kan een eindgebruiker
inderdaad geen DNSSEC doen. Maar dat valt dus wel op :-)
[...]
> > [1] met dien verstande dat NSEC3 hashing met een beetje GPU computing
> > redelijk snel te breken is.
>
> Dat is volgens mij de reden dat het goed is om de ZSK key vaak te
> verwisselen. Maar de details ken ik niet.
Onder andere, ja. Maar er zijn nog andere redenen.
--
Could you people please use IRC like normal people?!?
-- Amaya Rodrigo Sastre, trying to quiet down the buzz in the DebConf 2008
Hacklab
Reply to: