Wie kann ich überprüfen, ob eine Domain DNSSEC verwendet?

20

DNSSEC wurde jetzt auf einigen Topdomains bereitgestellt. Aber wie kann ich feststellen, ob eine Site / Domain DNSSEC verwendet? Wird es im Browser angezeigt? oder gibt es Windows oder Linux-Befehl, um es zu sehen? oder ein Werkzeug dafür?

Jonas
quelle

Antworten:

19

dig [zone] dnskey

Hier wird angezeigt, ob sich das erforderliche DNSKEY-RRset in der Zone befindet, mit dem die RRsets in der Zone überprüft werden.

Wenn Sie sehen möchten, ob Ihr rekursiver Server die Zone überprüft,

dig +dnssec [zone] dnskey

Dies setzt das DO-Bit (dnssec OK) in der ausgehenden Abfrage und veranlasst den Upstream-Resolver, das AD-Bit (authentifizierte Daten) im Rückgabepaket zu setzen, wenn die Daten validiert sind, und liefert Ihnen auch die zugehörigen RRSIGs (wenn die Zone in ist) Frage ist signiert), auch wenn die Antwort nicht validiert werden kann.

Vielleicht möchten Sie einen Blick auf die letzte Foliengruppe in meiner Präsentation "DNSSEC in 6 Minuten" werfen (viele Informationen zum Debuggen von DNSSEC). Diese Präsentation über die Bereitstellung von DNSSEC ist ein bisschen langwierig (Sie sollten sich wirklich BIND 9.7 ansehen, um die guten Dinge zu erfahren), aber das Debuggen hat sich wenig geändert.

Es gibt auch einen Vortrag, den ich auf der NANOG 50 über die Bereitstellung von BIND 9.7 DNSSEC gehalten habe .

Knobee
quelle
2
Ich wurde über serverfault gebeten, zuzugeben, dass ich tatsächlich für ISC arbeite, die Betreuer von BIND und ISC DHCP. Ich bin mehr als glücklich, jedem zu helfen, der Probleme mit einem hat (wenn es die Zeit erlaubt).
Knobee
Ihre Folien für "DNSSEC in 6 Minuten" geben jetzt eine 404. Gibt es eine neue URL?
e40
Die neue URL scheint zu lauten: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40
-1

Auf dem Terminal: dig tunnelix.com + dnssec

Sie müssen das RRSIG (RRset Signature) finden, das auf eine DNSSEC-Signatur verweist.

Antwort von Beispiel1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Ansonsten validieren Sie Ihre DNSSEC mit dem kostenlosen Online-DNSSEC-Checker. https://dnssec-debugger.verisignlabs.com

Weitere Informationen finden Sie unter den folgenden Links:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
quelle
2
Während dies theoretisch die Frage beantworten mag, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
Bertieb
Ich habe die Antwort wie gewünscht aktualisiert. Danke
Nitin J Mutkawoa