DNSSEC und Heimrouter

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 29.09.2017 09:07:14

Schönes Wochenende!

Ich habe in meinen Router-DNS-Server (Forwarder, Caching, authoritativ für lokale Zone) nun externe DNS-Server mit DNSSEC-Funktionalität eingetragen:

Code: Alles auswählen

ip name server 91.239.100.100 
ip name server 77.109.148.136

Welche sind das: Censurfridns Denmark und Xiala.net
https://www.privacy-handbuch.de/handbuch_93.htm
https://www.privacy-handbuch.de/handbuch_21g.htm
(Sollte man wenigstens mal überflogen haben.)

Tests mit folgendem Kommando als User:

Code: Alles auswählen

dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi

Ausgaben (10.65.10.1 ist mein Gateway mit DNS-Forwarder):

Code: Alles auswählen

Abfrage per DNSSEC-Server von "Censurfridns Denmark"
----------------------------------------------------
$ dig @91.239.100.100 test.dnssec-or-not.net +dnssec +multi

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @91.239.100.100 test.dnssec-or-not.net +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 64049
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;test.dnssec-or-not.net.	IN A

;; AUTHORITY SECTION:
dnssec-or-not.net.	2224 IN	SOA ns.packet-pushers.com. root.packet-pushers.com. (
				1506354196 ; serial
				3600       ; refresh (1 hour)
				300        ; retry (5 minutes)
				604800     ; expire (1 week)
				3600       ; minimum (1 hour)
				)
dnssec-or-not.net.	2224 IN	RRSIG SOA 8 2 3600 (
				20171025144315 20170925144315 19233 dnssec-or-not.net.
				jAIHCNDqAxq+QY8nkxDERcOR9zzcpC4g0bhRMRruUYmF
				AZf5fZlDHSz/HKUVmOD/Em95UTlkqGjKsuPgLZ4vR2qr
				06JcvgIkG/BARc7uMxieGcfGsto+kZr+1VCkZ6ECYfWG
				AvcD7F95t9cpts3/A1gl7V6RP7SZdBriVtwR+OmmNKX0
				VbMYEhfLiWaSZLfv6T64Cekm7DeFMQmuVltxwZgT8/RX
				WolOKwiywONnm4n0OKfokjY6N/IDTeTA8X335wdPExib
				L93HPY3N0rMLFfHTdQxsrr4Tj7viGzCKR0v53XeCRMix
				okPBVCcZrSJoyCI/uiy+zXULXZw6Raqt3g== )
D0UM4ALLIO1D7SND14VCRJA8NT98IEEJ.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
				20171025144315 20170925144315 19233 dnssec-or-not.net.
				iGk0BKXWtUPwUGM8CPQqcAi0Ad7vz2zV5+3otyy00KZB
				DBrdUr74HccRElFCA98irGikB0C7s2Mj3hyJS14+A1As
				bmYJ1MYNxyeMn4YGn+u4iS4JrztadLmPnfi+Gn4dhDlF
				sjpzavuwsrEAzzLSn/PzMVlqdINVjligKYuzrEzLwsbk
				Ustq6rNeWJH9xKjr9T1EUQcXCMX5P++TxQKT3qJIheLu
				76vU2BuIKBQdbmFyCHhjHZ6ft6Ro/yMscU0GfHPB1rkx
				bU5QNZbsDVqGCzbbxYadsWUslIQHhZ/Jt7ti/Juu+axe
				/Pe0x61lwwN5JyTTCNA4BIESR81CHQ6UnQ== )
D0UM4ALLIO1D7SND14VCRJA8NT98IEEJ.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
				JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC
				A AAAA RRSIG )
JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
				20171025144315 20170925144315 19233 dnssec-or-not.net.
				fgK0urz3c05oPbF8II1llbty30QEnT9QtjUj+siVwmiR
				BWCDDCXcPPUXE+7IPoDyc0/5hDvB8xlvpVys6Pp7gnlf
				8I7jk41WMeJaljXrC6wRFupolFbe98vXkTQIQVy8Kku6
				eH6104m8nVYQw1K17L+LdLMvlRcQSBukCbgMk0DpsHNw
				nCpHq04bZkGEWRLlI3NMzQR8m4pMdUrH0yIA5CjI0O/8
				d/gG/tYSqi1wp1dEc005fPxY5mn8qPU59nIkklxz7RrK
				JiGh+Vlvl2QoZtOIyS91ZhA3G/Z4N8ZK7Qf8HdaDlpIy
				Mz5HD4rUEf1dPcYan6OBUY13H8fqXrZOJw== )
JO39JI4L4B8RT0DL1VE1NNSODHGT9IHC.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
				Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ
				A NS SOA TXT AAAA RRSIG DNSKEY NSEC3PARAM )
Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ.dnssec-or-not.net. 2224 IN RRSIG NSEC3 8 3 3600 (
				20171025144315 20170925144315 19233 dnssec-or-not.net.
				WEPRpLOPlHC4KrdtFc5a302zHIEdr2GCq5C2XLF5rQ8e
				ZTxKoaX0eVTfMU6gVHPTxfMyQQHq9LkiX4skKLUzVHm0
				MVorVP4uRqXL3YFLCTTCq6OVOe/sCx7BUSy+xr3jAo5C
				afRU9cm5zwgvLoBxUdj0g7LhF+tP6NOygdMY7FHepRZG
				/U65lWS6Be+W1FwUGf/pVS/z5uS1pAs6IIFq3C0spgMZ
				E/I7jbHLCKaC71axUZ3ocgrrGIK4tpnjfzf89ST5YJs0
				Dcp46Z97vAijHg+HiwE+Pr308dAXwYLPAaT6fUJT6wKF
				ma8eVfyfFrcoxCe69A9trTGmPgoXm46EkQ== )
Q0Q19ESO55NGO03E6IVHP2BP6PE6KAGQ.dnssec-or-not.net. 2224 IN NSEC3 1 0 13 0FADEDBABE (
				TLFTDEKOSH2KQQAV7M9A2ULI6FQ9CSAB
				A AAAA RRSIG )

;; Query time: 20 msec
;; SERVER: 91.239.100.100#53(91.239.100.100)
;; WHEN: Fri Sep 29 08:31:41 CEST 2017
;; MSG SIZE  rcvd: 1586


Abfrage per eigenem DNS-Forwarder:
----------------------------------
$ dig @10.65.10.1 test.dnssec-or-not.net +dnssec +multi
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 test.dnssec-or-not.net +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 8907
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1
;; WARNING: Message has 60 extra bytes at end

;; QUESTION SECTION:
;test.dnssec-or-not.net.	IN A

;; AUTHORITY SECTION:
dnssec-or-not.net.	2205 IN	SOA ns.packet-pushers.com. root.packet-pushers.com. (
				1506354196 ; serial
				3600       ; refresh (1 hour)
				300        ; retry (5 minutes)
				604800     ; expire (1 week)
				3600       ; minimum (1 hour)
				)
dnssec-or-not.net.	2205 IN	RRSIG SOA 8 2 3600 (
				20171025144315 20170925144315 19233 dnssec-or-not.net.
				jAIHCNDqAxq+QY8nkxDERcOR9zzcpC4g0bhRMRruUYmF
				AZf5fZlDHSz/HKUVmOD/Em95UTlkqGjKsuPgLZ4vR2qr
				06JcvgIkG/BARc7uMxieGcfGsto+kZr+1VCkZ6ECYfWG
				AvcD7F95t9cpts3/A1gl7V6RP7SZdBriVtwR+OmmNKX0
				VbMYEhfLiWaSZLfv6T64Cekm7DeFMQmuVltxwZgT8/RX
				WolOKwiywONnm4n0OKfokjY6N/IDTeTA8X335wdPExib
				L93HPY3N0rMLFfHTdQxsrr4Tj7viGzCKR0v53XeCRMix
				okPBVCcZrSJoyCI/uiy+zXULXZw6Raqt3g== )

;; Query time: 26 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Fri Sep 29 08:32:00 CEST 2017
;; MSG SIZE  rcvd: 512


Abfrage per eigenem DNS-Forwarder:
----------------------------------
$ dig @10.65.10.1 debianforum.de +dnssec +multi

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 debianforum.de +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41161
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;debianforum.de.		IN A

;; ANSWER SECTION:
debianforum.de.		81204 IN A 144.76.154.165

;; Query time: 3 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Fri Sep 29 08:33:04 CEST 2017
;; MSG SIZE  rcvd: 48

DNSSEC zeigt sich am gesetzten/vorhandenem ad-Flag.

Code: Alles auswählen

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 64049
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 1

Der lokale (eigene) Forwarder selbst kann nicht verifizieren. Allerdings der abgefragte öffentliche, rekursive DNSSEC-Server. Ist damit ein Sicherheitsgewinn für jeden einzelnen durch das Gesamsystem DNSSEC.

Um auf letzteres hinzuweisen, habe ich den Thread im Sinne aller anderen Aluhüte

eröffnet. Nebenbei würde mich mal interessieren, ob/wie eure "Plastikrouter" (Fritzbüchsen etc.) mit den längeren Antworten (4096 Bytes) durch DNSSEC klar kommen. Mit meiner Cisco-Büchse habe ich bislang keine Probleme beim Surfen festgestellt.

LG Jana

Vgl. a.: https://techglimpse.com/dns-dnssec-test ... ing-tools/

Edit: Bei einer Sache bin ich mir nicht ganz sicher. Übliche Stateful Packet Inspection Firewalls müssten doch mitkriegen (droppen), wenn auf dem Wege zum angefragten öffentlichen DNS-Server gespooft wird (DNS-Port-Umleitung auf anderen als angefragten DNS)? Zieladresse von DNS-Request und Quelladresse von DHCP-Reply (UDP oder TCP) sollten unterschiedlich sein und damit nicht mehr zugehörig zur inspizierten (getrackten) DNS-Anfrage?

dufty2 · Beitrag von **dufty2** » 29.09.2017 10:27:44

Nunja, dieser Test überzeugt mich jetzt nicht ganz

Du hast zwar 'ne nette, lange Ausgabe erhalten, welche aber nur anzeigt, dass es
test.dnssec-or-not.net
gar nicht gibt!
Denn "status: NXDOMAIN" sowie fehlende
;; ANSWER SECTION:

Wenn dann würd' ich wenigstens etwas wie

Code: Alles auswählen

$ dig +dnssec +multi dnssec-name-and-shame.com

aut. simile probieren, damit es ein bischen realistischer wird.

Beitrag von **habakug** » 29.09.2017 10:52:37

Hallo!

Dafür gibt es delv:

Code: Alles auswählen

$ delv @8.8.8.8 www.debianforum.de A
; unsigned answer
www.debianforum.de.	83762	IN	A	144.76.154.165
$ delv @8.8.8.8 debian.org A
; fully validated
debian.org.		214	IN	A	130.89.148.14
debian.org.		214	IN	A	149.20.4.15
debian.org.		214	IN	A	5.153.231.4
debian.org.		214	IN	A	128.31.0.62
debian.org.		214	IN	RRSIG	A 8 2 300 20171106192510 20170927182510 52539 debian.org. P+lKH2qSRM2tlsSTZJVxWXtB6j8LcBLeRerSjdAf/WeG1mAuSxpMuIa0 aE2mGMeYL9hCpz5SrOd/Vf6dacGT7BEIht/LrbBP75SFh72yXEyEQ07Z hf9n0W8WsUUkOtKVl1PAnO3R7rtUiielAMy1CpZegXE7fJnNMi9eLuq/ Q1aAZiO3Tnil1TRXaL4eHhSM1fW3FXY1h6yuPWULIuofBdKt9u/63cC8 ppyJWUZVFoM9afxBRYr26YaSO9DeqKgS

"dnssec-or-not.net" = Verisign. Da würde ich mir auch was anderes suchen.

Gruss, habakug

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 29.09.2017 12:28:58

dufty2 hat geschrieben:
29.09.2017 10:27:44
Nunja, dieser Test überzeugt mich jetzt nicht ganz ...

Mich nun auch nicht mehr.

habakug hat geschrieben:
29.09.2017 10:52:37
Dafür gibt es delv ...

Dazugelernt und notiert.

"dnssec-or-not.net" = Verisign. Da würde ich mir auch was anderes suchen.

https://de.m.wikipedia.org/wiki/Verisign
Aha. Den Absatz "Kritik" im Link hast du wohl gemeint.

mludwig · Beitrag von **mludwig** » 29.09.2017 13:04:14

Jana66 hat geschrieben:
29.09.2017 09:07:14
...

Edit: Bei einer Sache bin ich mir nicht ganz sicher. Übliche Stateful Packet Inspection Firewalls müssten doch mitkriegen (droppen), wenn auf dem Wege zum angefragten öffentlichen DNS-Server gespooft wird (DNS-Port-Umleitung auf anderen als angefragten DNS)? Zieladresse von DNS-Request und Quelladresse von DHCP-Reply (UDP oder TCP) sollten unterschiedlich sein und damit nicht mehr zugehörig zur inspizierten (getrackten) DNS-Anfrage?

Wenn die Antwort gefälscht wird, kann der potentielle Angreifer auch gleich seine eigene Quell-IP und -Port so umschreiben, dass sie mit der Anfrage übereinstimmt. Da DNS ja unverschlüsselt ist, hat die Firewall mit Stateful-Inspection hier keine Möglichkeit, gefälschte Antworten zu erkennen. Bei DNS auf Basis von UDP "gewinnt" dann die Antwort, die als erstes ankommt, falls vom "originalen" DNS-Server auch eine Antwort kommt. Genau das soll ja DNSSEC verhindern.

Der DNS-Resolver (nicht der Forwarder) auf der PFSense unterstützt übrigens DNSSEC. Er würde dann gefälsche Pakete verwerfen, und nicht signierte Antworten von DNSSEC-fähigen Zonen ebenfalls.

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 29.09.2017 16:07:04

mludwig hat geschrieben:
29.09.2017 13:04:14
Wenn die Antwort gefälscht wird, kann der potentielle Angreifer ...

Danke, mludwig, vollständig und plausibel erklärt. Lösung dafür ist dann ein eigener rekusiver DNSSEC-Resolver. PFSense nutzt

unbound.
Nichtsdestotrotz bringt die Abfrage eines vertrauenswürdigen öffentlichen DNS-Resolvers durch Host oder Forwarder einen Sicherheitsgewinn durch das "Vorfeld", das System DNSSEC. (Der Sicherheitsgewinn wird hoffentlich nicht durch vergrößerte DNSSEC-Pakete zunichte gemacht, Stichwort DoS-Angriff. (*)) Nur eben keine Sicherheit zwischen Forwarder und Resolver. Habe ich Stateful Packet Inspection überschätzt.

(*) https://www.theregister.co.uk/2016/02/2 ... _solution/

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 02.10.2017 08:52:46

habakug hat geschrieben:
29.09.2017 10:52:37
Dafür gibt es delv:

Das ist m. E. im

bind9-Paket, oder? Wollte ich nicht extra installieren, gibt vielleicht Probleme mit auf Host vorhandenem

dnsmasq.

Dann will ich mal noch nachliefern. DNSSEC-Anfrage per Google-DNS für debian.org:

Code: Alles auswählen

dig @8.8.8.8 +dnssec +multi debian.org

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @8.8.8.8 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33640
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		160 IN A 5.153.231.4
debian.org.		160 IN A 149.20.4.15
debian.org.		160 IN RRSIG A 8 2 300 (
				20171110170502 20171001160502 52539 debian.org.
				E7QPqt1anGpG0tN+NOC4j+rlTjAb6A1nOemllEfUq1rx
				p7rttYV8/cipzyTzo21yed3Y39c3Kurb0FgmIBUR8ygD
				hYLX2do33zI0hbPtzcsODWePVNPMwF1h1Y1mzmg4Vzzx
				90u7z8l9RUNKKJtcalCBez3LzmUPz2IwqZNGIXz7FwXv
				0onIpIzuhQLWYpBRze/GbZSAodXDHBwq2zaicyGiXePp
				2WQkP+IqD4zJi1t8Je3gpth09rQpBrDoBEX5 )
debian.org.		160 IN A 130.89.148.14
debian.org.		160 IN A 128.31.0.62

;; Query time: 26 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Oct 02 08:45:51 CEST 2017
;; MSG SIZE  rcvd: 337

DNSSEC-Anfrage per eigenem DNS-Forwarder auf Gateway 10.65.11.1 mit DNS-Forwarding-Eintrag zu 91.239.100.100 (xiala.net, primary DNS):

Code: Alles auswählen

dig @10.65.11.1 +dnssec +multi debian.org
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.11.1 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39477
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 5
;; WARNING: Message has 104 extra bytes at end

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		300 IN A 130.89.148.14
debian.org.		300 IN A 149.20.4.15
debian.org.		300 IN A 128.31.0.62
debian.org.		300 IN A 5.153.231.4
debian.org.		300 IN RRSIG A 8 2 300 (
				20171110170502 20171001160502 52539 debian.org.
				E7QPqt1anGpG0tN+NOC4j+rlTjAb6A1nOemllEfUq1rx
				p7rttYV8/cipzyTzo21yed3Y39c3Kurb0FgmIBUR8ygD
				hYLX2do33zI0hbPtzcsODWePVNPMwF1h1Y1mzmg4Vzzx
				90u7z8l9RUNKKJtcalCBez3LzmUPz2IwqZNGIXz7FwXv
				0onIpIzuhQLWYpBRze/GbZSAodXDHBwq2zaicyGiXePp
				2WQkP+IqD4zJi1t8Je3gpth09rQpBrDoBEX5 )

;; AUTHORITY SECTION:
debian.org.		19614 IN NS sec1.rcode0.net.
debian.org.		19614 IN NS dnsnode.debian.org.
debian.org.		19614 IN NS sec2.rcode0.net.

;; Query time: 52 msec
;; SERVER: 10.65.11.1#53(10.65.11.1)
;; WHEN: Mon Oct 02 08:48:07 CEST 2017
;; MSG SIZE  rcvd: 512

Über das WE habe ich keinerlei DNS-Probleme nach Umstellung meines Router-DNS-Forwarders auf öffentlichen DNSSEC-Server bemerkt.

dufty2 · Beitrag von **dufty2** » 02.10.2017 14:31:08

Code: Alles auswählen

; <<>> DiG 9.9.5-9+deb8u13-Debian

Ah, da verwendet jemand old-stable.
So wird das nichts mit dem delv

Das gibt es erst ab bind-9.10, also stable.

Code: Alles auswählen

;; Warning: Message parser reports malformed message packet.

;; WARNING: Message has 104 extra bytes at end

Ist mir schon beim ersten Post aufgefallen, keine Ahnung, was der da so macht

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 03.10.2017 11:10:21

dufty2 hat geschrieben:
02.10.2017 14:31:08
Ist mir schon beim ersten Post aufgefallen, keine Ahnung, was der da so macht

Mal weiter "geforscht":
DNS-Cache des Cisco glöscht:

Code: Alles auswählen

clear host *

mehrere dig-Aufrufe, ab 2. Aufruf, der per Cache und ohne externe DNS-Anfrage erfolgt, fehlt DNSSEC (Forwarder verifiziert nicht, kein "Teil" von DNSSEC, hat keine DNSSEC-Keys - also erwartet):

Code: Alles auswählen

dig @10.65.11.1 +dnssec +multi debian.org
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.11.1 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37360
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 7
;; WARNING: Message has 104 extra bytes at end

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		10 IN A	149.20.4.15
debian.org.		10 IN A	128.31.0.62
debian.org.		10 IN A	5.153.231.4
debian.org.		10 IN A	130.89.148.14
debian.org.		10 IN RRSIG A 8 2 300 (
				20171111184512 20171002174512 52539 debian.org.
				al/nbgg5PZZTrfOneTGUuVgOQLkoho1GLQnaqgfql/6M
				aOHqxDP9IvOtENkBabyLzhGtI1alYr8mPTy/Sbbvn916
				XIT/w+6H12dKHlhAsczSxumGfD8UZL3qmf3EO9ioiCcd
				b4n4CtZqq/5tOSsIjGexumGVysixLhCp3u77qxZXq6ej
				7vAXze8UANxoeWygZUpti32rfiDBnCAQkGqRRg2mvZ6H
				X+6rWmrFgNMUQyRjBBwqB7F03NTiW2frimkc )

;; AUTHORITY SECTION:
debian.org.		12088 IN NS sec2.rcode0.net.
debian.org.		12088 IN NS dnsnode.debian.org.
debian.org.		12088 IN NS sec1.rcode0.net.

;; Query time: 26 msec
;; SERVER: 10.65.11.1#53(10.65.11.1)
;; WHEN: Tue Oct 03 10:51:39 CEST 2017
;; MSG SIZE  rcvd: 512

$ dig @10.65.11.1 +dnssec +multi debian.org

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.11.1 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10676
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		5 IN A	149.20.4.15
debian.org.		5 IN A	128.31.0.62
debian.org.		5 IN A	5.153.231.4
debian.org.		5 IN A	130.89.148.14

;; Query time: 3 msec
;; SERVER: 10.65.11.1#53(10.65.11.1)
;; WHEN: Tue Oct 03 10:51:44 CEST 2017
;; MSG SIZE  rcvd: 92

Wenn ich jedoch nach 2 bis 3 Minuten das Gleiche tue, sehen die aufeinander folgenden Ausgaben genau wie die geposteten aus. Den Hosteintrag für debian.org sehe ich vorher im Cache, ist also nicht veraltet. Werde mal

Code: Alles auswählen

debug ip dns  ...

auf dem Cisco durchführen. Soll ich mal die (kurze) DNS-Konfig. posten?

dufty2 · Beitrag von **dufty2** » 03.10.2017 17:27:54

"dig" kennt die Option "+besteffort", damit würde er dann dann auch die "malformed" packets anzeigen.
Jene tauchen bei Dir nur bei Verwendung von "+dnssec" auf, richtig?
Alternativ mal per tcpdump/wireshark mitsniffern.

Oder unbound als lokaler resolver verwenden, dauert halt etwas länger.
Ansonsten bin ich recht zufrieden mit unbound.

Neulich habe ich gelesen, dass bird beim rekursiven Auflösen nur die notwendigen Daten schickt, also bei
$ dig www.debianforum.de
an den Root-Server nur ".de", an die DE-Kisten nur "debianforum.de" und erst am letzten dann das komplette "www.debianforum.de".
Würd' mich interessieren, ob unbound/bind/cisco/etc. dass auch so machen bzw. sich so einstellen lassen.

Beitrag von **habakug** » 03.10.2017 17:44:10

Hallo!

;; WARNING: Message has 104 extra bytes at end
[...]
;; MSG SIZE rcvd: 512

Ist das hier [1] beachtet worden?

In order to support EDNS, both the DNS server and the network need to be properly prepared to support the larger packet size and multiple fragments.

Ich denke die Meldung bezieht sich darauf.

Code: Alles auswählen

$ dig [...] +noedns [...]

Gruss, habakug

[1] https://ftp.isc.org/isc/dnssec-guide/ht ... -all-about

edit:
Auch zu sehen in der ersten Abfrage mit dig im ersten Posting:

; EDNS: version: 0, flags: do; udp: 4096

Die Abfrage am Google-Nameserver aber:

; EDNS: version: 0, flags: do; udp: 512

...lokal fehlt die Ausgabe gänzlich (default 512).

dufty2 · Beitrag von **dufty2** » 03.10.2017 19:24:17

Das ist ein guter Hinweis von habakug.

Mit der Option "+noedns" könnt' etwas schwierig werden, da die Default-Version von EDNS die 0 ist

Auf einer Cisco-Seite hab' ich einen lustigen Test gefunden:

Code: Alles auswählen

$ dig +short rs.dns-oarc.net txt @10.65.11.1

vs.

Code: Alles auswählen

$ dig +short rs.dns-oarc.net txt @91.239.100.100

Kannst ja mal probieren, ob es da einen Unterschied gibt (oder auch nicht).

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 03.10.2017 20:09:55

Hhmm, EDNS, eine Additional Section (malformed?) habe ich noch nicht gesehen, vielleicht deshalb die Warnung. Müsste theoretisch so ausschauen (Ausgabe kopiert, Link unten):

Code: Alles auswählen

$ ## -------------------------------------------------------------------------------
$ ## There is no need to set the dig options each time, we'll add to an environmental
$ ## variable.
$ 
$ export DIGOPTS="+multiline +bufsize=4096 +time=3 +tries=2 +retry=0 +nosearch +ignore 
+fail +nocmd +nostats +nottlid"
$ 
$ ## -------------------------------------------------------------------------------
$ ## Successful DNSSEC-enabled query and QR with the RR being validated as indicated
$ ## by the 'ad' Flag.
$ 
$ dig ${DIGOPTS} +dnssec @149.20.64.20 good-A.test.dnssec-tools.org a
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44907
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;good-A.test.dnssec-tools.org. IN A
;; ANSWER SECTION:
good-A.test.dnssec-tools.org. IN A 75.119.216.33
good-A.test.dnssec-tools.org. IN RRSIG A 5 4 86400 20110304134513 (
				20110202134513 19442 test.dnssec-tools.org.
				vpnPOgrwTs+F6B1vi/pBFFbAmcHOuImq/phJm6bUZ7XR
				2khDYlVFg5+QcuMY8WGTzTIBMRXDh2eS/6LDsIhhGXVe
				U9wR/KwPm4Oaf2noU3uupZ23qBocQyVoEgSVqtUHPUkp
				DI1P7doVLAaGWvxFyBm1r401W+G6hqhoy+ITLQk= )
;; AUTHORITY SECTION:
test.dnssec-tools.org.	IN NS	dns1.test.dnssec-tools.org.
test.dnssec-tools.org.	IN NS	dns2.test.dnssec-tools.org.
test.dnssec-tools.org.	IN RRSIG NS 5 3 86400 20110304134513 (
				20110202134513 19442 test.dnssec-tools.org.
				Ml6R9DkmCcgJMagt92n2Pkm21Q1Z2eVKD82FVuZVJRsB
				FMj4TefLlh31xnjDdMPVpSpcq4dtA9WrNHIlISt5AoGx
				b18nPuyispJtA2Zs3Jv0WxBQXdKivV4WyxnTTvC0JvAc
				gcEWZHBNnsua2iBjeyKs0EOCC06GYdoyyHDXD+o= )
;; ADDITIONAL SECTION:
dns1.test.dnssec-tools.org. IN A 168.150.236.43
dns2.test.dnssec-tools.org. IN A 99.65.74.145
dns1.test.dnssec-tools.org. IN RRSIG A 5 4 86400 20110304134513 (
				20110202134513 19442 test.dnssec-tools.org.
				0R7gUh21+4jWWYbqVPH/FeT2WmhZnF5CtO8Jvdp9WyF5
				Un+EkLCMiR5nqHM4YG9Kg3UNv4EJxtgTCUw/loJ1u+dN
				cwGMn4JYj+7073WZKoLRRLowQ+A/dCZyuMFZN3KRQ4Wz
				l4PAEE2UMy9zP377fvyKPNR2ujovPSECm1mP4qg= )
dns2.test.dnssec-tools.org. IN RRSIG A 5 4 86400 20110304134513 (
				20110202134513 19442 test.dnssec-tools.org.
				fX/vZP9wr49xxl68dFaTBzHAur6kWV8T9HvUtPIrhOas
				4n+J9sqHH0rMgnZz5JABPBLEa4Pep9G5I/8vjfiWny71
				Vwd5AvFvupDVF/4zBeyGwJjqz2LicMlk/kJF8iQg6l+C
				PzNRWIWNbH9eqI1O9Y7SQnhsdYfT+S0dUamurHw= )
$

https://www.cisco.com/c/en/us/about/sec ... tices.html
(Habe keine ASA sondern Cisco-IOS-Router.)

Der korrekten Verarbeitung von DNSSEC-Antworten könnte bei mir entgegenstehen:

All DNSSEC configurations that make use of Network Address Translation (NAT) have been tested (Static 1-to-1 NAT, PAT, Identity NAT, etc.) and operated successfully (with the exception of NAT and packets requiring TCP segmentation, which were tested and had issues that are described in the next paragraph).

Customers with NAT configured on a Cisco IOS device may experience issues receiving large DNS query response messages when TCP is used as the transport. Cisco IOS NAT does not have support for reassembling TCP segments. The lack of support for TCP segment reaasembly is a well-known issue that is documented under the question "Q. What is the difference between IP fragmentation and TCP segmentation?" at the following link: http://www.cisco.com/en/US/tech/tk648/t ... 523b.shtml.

Quelle dgl.
Werde mit euren Hinweisen noch bisschen experimentieren, ich melde mich wieder. Danke euch erstmal!

dufty2 hat geschrieben:
03.10.2017 17:27:54
Oder unbound als lokaler resolver verwenden, dauert halt etwas länger.
Ansonsten bin ich recht zufrieden mit unbound.

Einen zusätzlichen Raspi mit AdBlock/PiHole für alle Hosts und unbound und RADIUS für WLAN ziehe ich in Erwägung. Oder PFSense-Box. Aber wenn alles funktioniert, nur Warnung/Schönheitsfehler ...

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 05.10.2017 10:27:45

dufty2 hat geschrieben:
03.10.2017 17:27:54
Jene tauchen bei Dir nur bei Verwendung von "+dnssec" auf, richtig?

habakug hat geschrieben:
03.10.2017 17:44:10
Ist das hier [1] beachtet worden?

Unter Nutzung der Links
https://www.privacy-handbuch.de/handbuch_93.htm
habe ich die angegebenen Server getestet, ob sie mit einer Additional Section antworten.
Swiss Privacy Foundation hat die DNS-Server abgeschaltet, verweist auf Xiala.net.
https://www.privacyfoundation.ch/de/akt ... erver.html
https://www.privacy-handbuch.de/handbuch_21g.htm (veraltet!)

Censurfridns Denmark liefert Answer, Authority und Additonal Section:
dig @91.239.100.100 +dnssec +multi debian.org
dig @91.239.100.100 +dnssec +multi debian.org

Xiala.net liefert keine Authority Section und keine Additional Section:
dig @77.109.148.136 +dnssec +multi debian.org
dig @77.109.148.137 +dnssec +multi debian.org

DNS Watch liefert keine Authority Section und keine Additional Section:
dig @84.200.69.80 +dnssec +multi debian.org
dig @84.200.70.40 +dnssec +multi debian.org

Die

Code: Alles auswählen

Warning: Message parser reports malformed message packet.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32629
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 9
;; WARNING: Message has 87 extra bytes at end

bei Nutzung des Cisco-Routers tritt nur bei Vorhandensein von Authority und Additonal Section (Censurfridns Denmark) auf.

Ausgaben für DNS-Server ohne Authority und Additional Section:

Code: Alles auswählen

dig @77.109.148.136 +dnssec +multi debian.org

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @77.109.148.136 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41701
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		300 IN A 130.89.148.14
debian.org.		300 IN A 149.20.4.15
debian.org.		300 IN A 5.153.231.4
debian.org.		300 IN A 128.31.0.62
debian.org.		300 IN RRSIG A 8 2 300 (
				20171111184512 20171002174512 52539 debian.org.
				al/nbgg5PZZTrfOneTGUuVgOQLkoho1GLQnaqgfql/6M
				aOHqxDP9IvOtENkBabyLzhGtI1alYr8mPTy/Sbbvn916
				XIT/w+6H12dKHlhAsczSxumGfD8UZL3qmf3EO9ioiCcd
				b4n4CtZqq/5tOSsIjGexumGVysixLhCp3u77qxZXq6ej
				7vAXze8UANxoeWygZUpti32rfiDBnCAQkGqRRg2mvZ6H
				X+6rWmrFgNMUQyRjBBwqB7F03NTiW2frimkc )

;; Query time: 24 msec
;; SERVER: 77.109.148.136#53(77.109.148.136)
;; WHEN: Thu Oct 05 10:19:21 CEST 2017
;; MSG SIZE  rcvd: 337

Eintrag im Forwarder des Cisco-Routers: ip name-server 77.109.148.136 und Löschen Cache: clear host *

Code: Alles auswählen

dig @10.65.10.1 +dnssec +multi debian.org

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18181
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		300 IN A 5.153.231.4
debian.org.		300 IN A 128.31.0.62
debian.org.		300 IN A 130.89.148.14
debian.org.		300 IN A 149.20.4.15
debian.org.		300 IN RRSIG A 8 2 300 (
				20171111184512 20171002174512 52539 debian.org.
				al/nbgg5PZZTrfOneTGUuVgOQLkoho1GLQnaqgfql/6M
				aOHqxDP9IvOtENkBabyLzhGtI1alYr8mPTy/Sbbvn916
				XIT/w+6H12dKHlhAsczSxumGfD8UZL3qmf3EO9ioiCcd
				b4n4CtZqq/5tOSsIjGexumGVysixLhCp3u77qxZXq6ej
				7vAXze8UANxoeWygZUpti32rfiDBnCAQkGqRRg2mvZ6H
				X+6rWmrFgNMUQyRjBBwqB7F03NTiW2frimkc )

;; Query time: 46 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Thu Oct 05 10:25:28 CEST 2017
;; MSG SIZE  rcvd: 337

$ dig @10.65.10.1 +dnssec +multi debian.org

; <<>> DiG 9.9.5-9+deb8u13-Debian <<>> @10.65.10.1 +dnssec +multi debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10814
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		294 IN A 5.153.231.4
debian.org.		294 IN A 128.31.0.62
debian.org.		294 IN A 130.89.148.14
debian.org.		294 IN A 149.20.4.15

;; Query time: 3 msec
;; SERVER: 10.65.10.1#53(10.65.10.1)
;; WHEN: Thu Oct 05 10:25:34 CEST 2017
;; MSG SIZE  rcvd: 92

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 05.10.2017 10:34:38

Nun Test mit Answer, Authority und Additional Section (Censurfridns Denmark):

Code: Alles auswählen

$ export DIGOPTS="+multiline +bufsize=4096 +time=3 +tries=2 +retry=0 +nosearch +ignore 
> +fail +nocmd +nostats +nottlid"

$ dig ${DIGOPTS} +dnssec @91.239.100.100 debian.org
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5083
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		IN A	149.20.4.15
debian.org.		IN A	5.153.231.4
debian.org.		IN A	128.31.0.62
debian.org.		IN A	130.89.148.14
debian.org.		IN RRSIG A 8 2 300 (
				20171111184512 20171002174512 52539 debian.org.
				al/nbgg5PZZTrfOneTGUuVgOQLkoho1GLQnaqgfql/6M
				aOHqxDP9IvOtENkBabyLzhGtI1alYr8mPTy/Sbbvn916
				XIT/w+6H12dKHlhAsczSxumGfD8UZL3qmf3EO9ioiCcd
				b4n4CtZqq/5tOSsIjGexumGVysixLhCp3u77qxZXq6ej
				7vAXze8UANxoeWygZUpti32rfiDBnCAQkGqRRg2mvZ6H
				X+6rWmrFgNMUQyRjBBwqB7F03NTiW2frimkc )

;; AUTHORITY SECTION:
DebIAN.org.		IN NS	sec2.rcode0.net.
DebIAN.org.		IN NS	dnsnode.DebIAN.orG.
DebIAN.org.		IN NS	sec1.rcode0.net.
DebIAN.org.		IN RRSIG NS 8 2 28800 (
				20171102042203 20170923034718 52539 debian.org.
				x589LN5nBzlpu4xEvmtWksZvAFsxmzWpF1bo7Ua5oQV2
				9SanF2Vx7ISN6dRF308v/5pH5psm729KfTDpJXr2Jcfk
				g22LjeELz+xrny1wyeC2/SnZBvPWJ9CbQZkKc/VAGdfu
				jUjaPmLl6KsJ5ErJfFtz6MRcbU8QMeYC17JLte3NsYaV
				0ny4DjgNa+RhdsMkNgEnHuiBo2dDouZ+2D4vPb0qtkp/
				H2bO34iM6g3F7/VKS/nxfqwY62OZy/Ny8hgq )

;; ADDITIONAL SECTION:
sec1.rcode0.net.	IN A	192.174.68.100
sec2.rcode0.net.	IN A	176.97.158.100
dnsnode.DebIAN.org.	IN A	194.146.106.126
sec1.rcode0.net.	IN AAAA	2001:67c:1bc::100
sec2.rcode0.net.	IN AAAA	2001:67c:10b8::100
dnsnode.DebIAN.org.	IN AAAA	2001:67c:1010:32::53
dnsnode.DebIAN.org.	IN RRSIG A 8 3 28800 (
				20171102065411 20170923064749 52539 debian.org.
				EcQiWRcLXUJH+5LC5YBqW6X0su+rZGh9q5Cw1RdtAgU5
				R/GD1Lraa62kq7IMucaJsRFk8pPCrz74kka2oC5Ga8VG
				vUVh/tJnDpm7G6VMKVD8qO61rCDi+uc8MNFM5CdHGjg6
				MHPNcwDMxGgp6or1cRdtAk+wAlfv6ahfCrVSCJNgGOGj
				AGkwNI8K9pz5n36nbRd1La+uzro6pQapLk+1yCL4s70n
				E67CMpQXi8z5vIoIGSR68L9SfxtcEUbo5KNu )
dnsnode.DebIAN.org.	IN RRSIG AAAA 8 3 28800 (
				20171102065411 20170923064749 52539 debian.org.
				ldFTpUjYvIfsqNB0TcDYR0aWd2+HS5TAF2fSC+S/98Q4
				BTy1wvuC8OV9arOHqAt/YgO+oj1RtmaNcM2jM9SXSEVm
				vJQ4ILaWehwvMtKLw1sJHSgjbs7LKW7nqSEuTzv8r1h4
				RjPibhhAm2qAhIgXd+/jolSNOGcYyp4rQ2/+g7PE9Xo0
				AS3/RW6ndZ6re3p8MK4fOT8YZKIJ7rNCMfmp2OrylXTx
				uYf2mTP43Ld8z0kOmldMvACzJjlTZtUr6Gai )

Eintrag im Forwarder des Cisco-Routers:
no ip name-server 77.109.148.136
ip name-server 91.239.100.100
und Löschen Cache: clear host *

Code: Alles auswählen

$ dig ${DIGOPTS} +dnssec @10.65.10.1 debian.org
;; Warning: Message parser reports malformed message packet.
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64674
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 9
;; WARNING: Message has 87 extra bytes at end

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
DebIAN.org.		IN A	128.31.0.62
DebIAN.org.		IN A	5.153.231.4
DebIAN.org.		IN A	130.89.148.14
DebIAN.org.		IN A	149.20.4.15
DebIAN.org.		IN RRSIG A 8 2 300 (
				20171111184512 20171002174512 52539 debian.org.
				al/nbgg5PZZTrfOneTGUuVgOQLkoho1GLQnaqgfql/6M
				aOHqxDP9IvOtENkBabyLzhGtI1alYr8mPTy/Sbbvn916
				XIT/w+6H12dKHlhAsczSxumGfD8UZL3qmf3EO9ioiCcd
				b4n4CtZqq/5tOSsIjGexumGVysixLhCp3u77qxZXq6ej
				7vAXze8UANxoeWygZUpti32rfiDBnCAQkGqRRg2mvZ6H
				X+6rWmrFgNMUQyRjBBwqB7F03NTiW2frimkc )

;; AUTHORITY SECTION:
DebIAN.org.		IN NS	sec2.rcode0.net.
DebIAN.org.		IN NS	sec1.rcode0.net.
DebIAN.org.		IN NS	dnsnode.DebIAN.orG.

$ dig ${DIGOPTS} +dnssec @10.65.10.1 debian.org
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30170
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		IN A	128.31.0.62
debian.org.		IN A	5.153.231.4
debian.org.		IN A	130.89.148.14
debian.org.		IN A	149.20.4.15

max@max-lx-pc:~$ dig ${DIGOPTS} +dnssec @10.65.10.1 debian.org
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30670
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;debian.org.		IN A

;; ANSWER SECTION:
debian.org.		IN A	128.31.0.62
debian.org.		IN A	5.153.231.4
debian.org.		IN A	130.89.148.14
debian.org.		IN A	149.20.4.15

Bei den Schlussfolgerungen bin ich mir nicht so sicher:

Die Funktionalität des (nicht verifizierenden) Cisco-DNS-Forwarders ist in beiden DNSSEC-Fällen gewährleistet. Ich weiß nicht, was ich an der Router-Konfig. ändern könnte: Die Zone Based Firewall (Stateful Packet Inspection) ist so eingestellt, dass von intern (Self-Zone, Router-DNS-Forwarder) initiierte Verbindungen auf UDP- und TCP-Port 53 zugelassen sind. Also zumindest sind stafeful inspizierte Folgeverbindungen sowie wiederholte Anfragen per TCP, Port 53 möglich. Von außen initierte Verbindungen werden gedroppt.

Man kann (zumindest für die Funktionalität problemlos) öffentliche DNSSEC-Server mit oder ohne kompletten Sections nutzen. Inwiefern für einfache, nicht verifizierende Forwarder die Authority und Additional Section bezüglich Sicherheit/Authentizität überhaupt wichtig ist, weiß ich (noch) nicht. Von einer entsprechenden Antwort wäre abhängig, welche der o. g. öffentlichen DNS-Server zu bevorzugen sind. Mir erscheinen bislang die Server Censurfridns Denmark am vertrauenswürdigsten - da komplette Antworten vom Serverbetreiber konfiguriert. (Auch wenn mein Forwarder damit nichts anfangen kann.) Wobei ich nicht auschließen kann, dass die Serveradmins extra nur die Antwortsektion konfiguriert haben, gerade um Probleme auf Clientseite mit großen Paketlängen zu vermeiden.

Für eine erwünschte Verifizierung von DNSSEC-Antworten kann man

unbound als verifizierenden und rekursiven Resolver auf allen Linux-Hosts (oder extra Hardware, Raspis für zentralen verifizierenden und rekursiven Resolver) installieren. Mein Cisco-IOS-Router (*) jedenfalls lässt offensichtlich vollständige DNSSEC-Antworten an Hosts trotz NAT zu oder durch. Wer dafür sein (NAT-) Netz selber testen will, nutzt einfach:

Code: Alles auswählen

dig @91.239.100.100 +dnssec +multi debian.org

und vergleicht mit den im Beitrag o. g. Ausgaben.

(*) IOS 15.4

BenutzerGa4gooPh · Beitrag von **BenutzerGa4gooPh** » 05.10.2017 15:27:47

dufty2 hat geschrieben:
03.10.2017 19:24:17
Das ist ein guter Hinweis von habakug.
Mit der Option "+noedns" könnt' etwas schwierig werden, da die Default-Version von EDNS die 0 ist
Auf einer Cisco-Seite hab' ich einen lustigen Test gefunden:
Code: Alles auswählen
$ dig +short rs.dns-oarc.net txt @10.65.11.1
vs.
Code: Alles auswählen
$ dig +short rs.dns-oarc.net txt @91.239.100.100
Kannst ja mal probieren, ob es da einen Unterschied gibt (oder auch nicht).

Egibt:

Code: Alles auswählen

dig +short rs.dns-oarc.net txt @10.65.11.1
rst.x4090.rs.dns-oarc.net.
rst.x4058.rs.dns-oarc.net.

Censurfridns Denmark
dig +short rs.dns-oarc.net txt @91.239.100.100
rst.x4090.rs.dns-oarc.net.
rst.x4058.x4090.rs.dns-oarc.net.
rst.x4064.x4058.x4090.rs.dns-oarc.net.
"Tested at 2017-10-05 13:19:20 UTC"
"94.126.178.9 DNS reply size limit is at least 4090"
"94.126.178.9 sent EDNS buffer size 4096"

Xiala.net
dig +short rs.dns-oarc.net txt @77.109.148.136
rst.x4090.rs.dns-oarc.net.
rst.x4058.rs.dns-oarc.net.
rst.x4058.x4058.rs.dns-oarc.net.
rst.x4064.x4058.rs.dns-oarc.net.
rst.x4049.x4058.rs.dns-oarc.net.

Cisco-Forwardert ist halt kein unbound. Aber egal, ich werde aus dem Cisco-Forwarder wohl keinen verifizierenden DNS-Resolver machen können. Bin schon froh, dass DNSSEC-Antworten für eventuell

unbound komplett auf Hosts ankommen.

debianforum.de

DNSSEC und Heimrouter

DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter

Re: DNSSEC und Heimrouter