GNU/Linux >> Linux Esercitazione >  >> Linux

Come testare e convalidare DNSSEC utilizzando dig e Web Tools?

Hai abilitato DNSSEC sul server DNS? In caso contrario, scopri come abilitare DNSSEC sul server DNS basato su Bind. Dopo aver installato e configurato DNSSEC che convalida il server DNS sicuro, assicurati di testarlo correttamente. In qualità di amministratore, ecco i test di base che dovresti eseguire dopo aver configurato il server DNS abilitato per DNSSEC. Assicurarsi che i domini DNS con firma DNSSEC siano convalidati correttamente segnalando il flag Authenticated Data (AD) e che i domini DNS con DNSSEC rotto non siano convalidati con SERVFAIL. Tuttavia, il risolutore dovrebbe risolvere normalmente i domini non DNSSEC. Vedremo come convalidare DNSSEC utilizzando sia il comando che il servizio web.

Come convalidare i domini firmati DNSSEC utilizzando dig?

dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi

Testiamo ora un dominio firmato DNSSEC!

$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssectest.sidn.nl. IN A
;; ANSWER SECTION:
dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl.
dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 (
 20131114071501 42033 sidn.nl.
 oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0
 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt
 lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX
 O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= )
www.sidn.nl. 10466 IN A 213.136.31.220
www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 (
 20131113071501 42033 sidn.nl.
 QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4
 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs
 Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d
 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= )
;; Query time: 1610 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:43:14 2013
;; MSG SIZE rcvd: 415

Nell'output sopra, cerca i dati autenticati (AD) impostati in FLAGS. La richiesta di un dominio DNS firmato DNSSEC con il flag DO impostato (che è DNSSEC OK) dovrebbe fornire un flag di risposta autenticata (AD) impostato nell'intestazione.

Convalida del dominio DNSSEC danneggiato o configurato in modo errato

$ dig dnssec-or-not.org +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-or-not.org. IN A
;; Query time: 334 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:46:32 2013
;; MSG SIZE rcvd: 46

Il tentativo di risolvere un dominio con problemi DNSSEC dovrebbe restituire SERVFAIL come codice di ritorno nell'intestazione. Cerca SERVFAIL dall'output sopra.

La convalida del dominio non firmato DNSSEC dovrebbe risolversi normalmente

$ dig espncricinfo.com +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;espncricinfo.com. IN A
;; ANSWER SECTION:
espncricinfo.com. 102 IN A 80.168.92.141
;; Query time: 431 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:51:12 2013
;; MSG SIZE rcvd: 61

Il tentativo di risolvere un dominio che non è firmato DNSSEC dovrebbe risolversi normalmente. Perché espncricinfo.com? Bene, stavo guardando l'ultimo e il 200esimo test match di Sachin Tendulkar contro le Indie occidentali. Che leggenda!

Pochi servizi Web per il test DNSSEC

DNSVIZ

È un servizio web per visualizzare lo stato di una zona DNS. Ti aiuta a comprendere e risolvere i problemi di distribuzione di DNSSEC fornendo un'analisi visiva della catena di autenticazione DNSSEC e del relativo percorso di risoluzione. Lo strumento è in grado di elencare gli errori di configurazione durante il processo di convalida.

Verifica DNSVIZ.

ZoneCheck

ZoneCheck è un semplice strumento che consente di scoprire e risolvere errori di configurazione DNS. Controlla la zona per configurazioni errate o incongruenze (dovute alla latenza dell'applicazione) e genera un rapporto.

Controllare ZoneCheck.

SecSpider di Verisign

SecSpider monitora le metriche di distribuzione di DNSSEC, le metriche di disponibilità, le metriche di verifica, le metriche di convalida ecc...

Controlla SecSpider.

E altro ancora...

* Verisign Labs ha sviluppato "DNSSEC o no?" validatore. Acquista qui.

* SIDN ha sviluppato "Sei un DNSSEC protetto?" – Acquista qui.

* ICSI Netalyzer, uno strumento di test di rete, che include anche la convalida DNSSEC: controlla qui.

* Uno simile dell'  Università di Duesseldorf, Germania: controlla qui.

LEGGI:​​Guida per principianti a DNSSEC

LEGGI:​​Come impostare DNSSEC su Bind?


Linux

  1. Come programmare con Bash:sintassi e strumenti

  2. Come installare e testare Ansible su Linux

  3. Che cos'è un server Web e come funziona un server Web?

  4. Come masterizzare un'immagine ISO su DVD e USB utilizzando dd

  5. Come ordinare i file in Linux usando il comando di ordinamento

Come condividere il tuo terminale sul Web utilizzando Streamhut

Come sincronizzare file e directory utilizzando Zaloha.sh

Come organizzare e modificare i file PDF utilizzando PDF Arranger

Come eseguire il backup di file e directory utilizzando Rsync in Linux

Come ingrandire e rimpicciolire i video utilizzando FFmpeg

Come usare il comando DD e come masterizzare ISO usandolo