Ich habe in meinen Router-DNS-Server (Forwarder, Caching, authoritativ für lokale Zone) nun externe DNS-Server mit DNSSEC-Funktionalität eingetragen:
Code: Alles auswählen
ip name server 91.239.100.100
ip name server 77.109.148.136
https://www.privacy-handbuch.de/handbuch_93.htm
https://www.privacy-handbuch.de/handbuch_21g.htm
(Sollte man wenigstens mal überflogen haben.)
Tests mit folgendem Kommando als User:
Code: Alles auswählen
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
Code: Alles auswählen
Abfrage per DNSSEC-Server von "Censurfridns Denmark"
----------------------------------------------------
$ dig @91.239.100.100 test.dnssec-or-not.net +dnssec +multi
; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @91.239.100.100 test.dnssec-or-not.net +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 64049
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;test.dnssec-or-not.net. IN A
;; AUTHORITY SECTION:
dnssec-or-not.net. 2224 IN SOA ns.packet-pushers.com. root.packet-pushers.com. (
1506354196 ; serial
3600 ; refresh (1 hour)
300 ; retry (5 minutes)
604800 ; expire (1 week)
3600 ; minimum (1 hour)
)
dnssec-or-not.net. 2224 IN RRSIG SOA 8 2 3600 (
20171025144315 20170925144315 19233 dnssec-or-not.net.
jAIHCNDqAxq+QY8nkxDERcOR9zzcpC4g0bhRMRruUYmF
AZf5fZlDHSz/HKUVmOD/Em95UTlkqGjKsuPgLZ4vR2qr
06JcvgIkG/BARc7uMxieGcfGsto+kZr+1VCkZ6ECYfWG
AvcD7F95t9cpts3/A1gl7V6RP7SZdBriVtwR+OmmNKX0
VbMYEhfLiWaSZLfv6T64Cekm7DeFMQmuVltxwZgT8/RX
WolOKwiywONnm4n0OKfokjY6N/IDTeTA8X335wdPExib
L93HPY3N0rMLFfHTdQxsrr4Tj7viGzCKR0v53XeCRMix
okPBVCcZrSJoyCI/uiy+zXULXZw6Raqt3g== )
D0UM4ALLIO1D7SND14VCRJA8NT98IEEJ.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
20171025144315 20170925144315 19233 dnssec-or-not.net.
iGk0BKXWtUPwUGM8CPQqcAi0Ad7vz2zV5+3otyy00KZB
DBrdUr74HccRElFCA98irGikB0C7s2Mj3hyJS14+A1As
bmYJ1MYNxyeMn4YGn+u4iS4JrztadLmPnfi+Gn4dhDlF
sjpzavuwsrEAzzLSn/PzMVlqdINVjligKYuzrEzLwsbk
Ustq6rNeWJH9xKjr9T1EUQcXCMX5P++TxQKT3qJIheLu
76vU2BuIKBQdbmFyCHhjHZ6ft6Ro/yMscU0GfHPB1rkx
bU5QNZbsDVqGCzbbxYadsWUslIQHhZ/Jt7ti/Juu+axe
/Pe0x61lwwN5JyTTCNA4BIESR81CHQ6UnQ== )
D0UM4ALLIO1D7SND14VCRJA8NT98IEEJ.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC
A AAAA RRSIG )
JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
20171025144315 20170925144315 19233 dnssec-or-not.net.
fgK0urz3c05oPbF8II1llbty30QEnT9QtjUj+siVwmiR
BWCDDCXcPPUXE+7IPoDyc0/5hDvB8xlvpVys6Pp7gnlf
8I7jk41WMeJaljXrC6wRFupolFbe98vXkTQIQVy8Kku6
eH6104m8nVYQw1K17L+LdLMvlRcQSBukCbgMk0DpsHNw
nCpHq04bZkGEWRLlI3NMzQR8m4pMdUrH0yIA5CjI0O/8
d/gG/tYSqi1wp1dEc005fPxY5mn8qPU59nIkklxz7RrK
JiGh+Vlvl2QoZtOIyS91ZhA3G/Z4N8ZK7Qf8HdaDlpIy
Mz5HD4rUEf1dPcYan6OBUY13H8fqXrZOJw== )
JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ
A NS SOA TXT AAAA RRSIG DNSKEY NSEC3PARAM )
Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
20171025144315 20170925144315 19233 dnssec-or-not.net.
WEPRpLOPlHC4KrdtFc5a302zHIEdr2GCq5C2XLF5rQ8e
ZTxKoaX0eVTfMU6gVHPTxfMyQQHq9LkiX4skKLUzVHm0
MVorVP4uRqXL3YFLCTTCq6OVOe/sCx7BUSy+xr3jAo5C
afRU9cm5zwgvLoBxUdj0g7LhF+tP6NOygdMY7FHepRZG
/U65lWS6Be+W1FwUGf/pVS/z5uS1pAs6IIFq3C0spgMZ
E/I7jbHLCKaC71axUZ3ocgrrGIK4tpnjfzf89ST5YJs0
Dcp46Z97vAijHg+HiwE+Pr308dAXwYLPAaT6fUJT6wKF
ma8eVfyfFrcoxCe69A9trTGmPgoXm46EkQ== )
Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
TLFTDEKOSH2KQQAV7M9A2ULI6FQ9CSAB
A AAAA RRSIG )
;; Query time: 20 msec
;; SERVER: 91.239.100.100#53(91.239.100.100)
;; WHEN: Fri Sep 29 08:31:41 CEST 2017
;; MSG SIZE rcvd: 1586
Abfrage per eigenem DNS-Forwarder:
----------------------------------
$ dig @10.65.10.1 test.dnssec-or-not.net +dnssec +multi
;; Warning: Message parser reports malformed message packet.
; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 test.dnssec-or-not.net +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 8907
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1
;; WARNING: Message has 60 extra bytes at end
;; QUESTION SECTION:
;test.dnssec-or-not.net. IN A
;; AUTHORITY SECTION:
dnssec-or-not.net. 2205 IN SOA ns.packet-pushers.com. root.packet-pushers.com. (
1506354196 ; serial
3600 ; refresh (1 hour)
300 ; retry (5 minutes)
604800 ; expire (1 week)
3600 ; minimum (1 hour)
)
dnssec-or-not.net. 2205 IN RRSIG SOA 8 2 3600 (
20171025144315 20170925144315 19233 dnssec-or-not.net.
jAIHCNDqAxq+QY8nkxDERcOR9zzcpC4g0bhRMRruUYmF
AZf5fZlDHSz/HKUVmOD/Em95UTlkqGjKsuPgLZ4vR2qr
06JcvgIkG/BARc7uMxieGcfGsto+kZr+1VCkZ6ECYfWG
AvcD7F95t9cpts3/A1gl7V6RP7SZdBriVtwR+OmmNKX0
VbMYEhfLiWaSZLfv6T64Cekm7DeFMQmuVltxwZgT8/RX
WolOKwiywONnm4n0OKfokjY6N/IDTeTA8X335wdPExib
L93HPY3N0rMLFfHTdQxsrr4Tj7viGzCKR0v53XeCRMix
okPBVCcZrSJoyCI/uiy+zXULXZw6Raqt3g== )
;; Query time: 26 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Fri Sep 29 08:32:00 CEST 2017
;; MSG SIZE rcvd: 512
Abfrage per eigenem DNS-Forwarder:
----------------------------------
$ dig @10.65.10.1 debianforum.de +dnssec +multi
; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 debianforum.de +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41161
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;debianforum.de. IN A
;; ANSWER SECTION:
debianforum.de. 81204 IN A 144.76.154.165
;; Query time: 3 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Fri Sep 29 08:33:04 CEST 2017
;; MSG SIZE rcvd: 48
Code: Alles auswählen
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 64049
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1
Um auf letzteres hinzuweisen, habe ich den Thread im Sinne aller anderen Aluhüte eröffnet. Nebenbei würde mich mal interessieren, ob/wie eure "Plastikrouter" (Fritzbüchsen etc.) mit den längeren Antworten (4096 Bytes) durch DNSSEC klar kommen. Mit meiner Cisco-Büchse habe ich bislang keine Probleme beim Surfen festgestellt.
LG Jana
Vgl. a.: https://techglimpse.com/dns-dnssec-test ... ing-tools/
Edit: Bei einer Sache bin ich mir nicht ganz sicher. Übliche Stateful Packet Inspection Firewalls müssten doch mitkriegen (droppen), wenn auf dem Wege zum angefragten öffentlichen DNS-Server gespooft wird (DNS-Port-Umleitung auf anderen als angefragten DNS)? Zieladresse von DNS-Request und Quelladresse von DHCP-Reply (UDP oder TCP) sollten unterschiedlich sein und damit nicht mehr zugehörig zur inspizierten (getrackten) DNS-Anfrage?