Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   DNSSEC какой алгоритм все-таки лучше ? (http://forums.kuban.ru/f1029/dnssec_kakoj_algoritm_vse-taki_luchshe-6150086.html)

1121684 03.10.2014 19:54
DNSSEC какой алгоритм все-таки лучше ?
 
[url]https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml[/url]
пробовал 7-й NSEC3 он гад все-таки дает перебирать(enumerate) ресурсы, т.к. nsec содержит ссылку на следующий, и пускай в отличии от чистого nsec он показывает только хэш, что мешает сделать мини скрипт и тупо запросить по имени....получив тоже что с nsec
смотрю на 14, на корневых 8-й
кто-нибудь разбирался в вопросе ?

droidman 03.10.2014 20:16
ээ, а разве доступ к DNSSEC имеют все желающие?) там же ограничивают всегда ip-шниками слейвов/мастеров

1121684 03.10.2014 20:34
почиал справку на nic.ru )))

Поддерживаемые алгоритмы для генерации ключей:

RSA/SHA-1
RSA/SHA-256
GOST R 34-10.2001

все таки вопрос открыт то что по быстрдействию - это я понял...по вражеской презенташке ))) [url]http://video.ch9.ms/teched/2012/na/WSV325.pptx[/url]


1-droidman >
да я тут ключи проерял вместе с зонами своими тестовыми када виртуалку переподнимал да в общем весь конфиг потерял.... и как выяснилось не все так сложно, стащил со слейвов (они за бугрм бесплатные секондари с днссек)

dig +nocmd [u]example.domain[/u] any +multiline +noall +answer @[u]nameserver.domain[/u]

1121684 03.10.2014 20:39
1-droidman > зачем ? то TSIG обычно для передачи зон в хэшированом виде, а dnssec это все-таки идентификация подлиности сервера, аналог ssl только для dns не ? или я чего-то не понимаю .....

1121684 03.10.2014 20:47
[url]http://dnsviz.net/d/paypal.com/dnssec/[/url]
на примере палки у них видно что работает и ключики дает для проверки и ресурсы перебирает(но не все они видимо что-то знают чего я не знаю ))))
[spoiler]
dig +nocmd paypal.com any +multiline +noall +answer @ns1.isc-sns.net
paypal.com. 600 IN SOA ppns1.phx.paypal.com. hostmaster.paypal.com. (
2012182591 ; serial
7200 ; refresh (2 hours)
900 ; retry (15 minutes)
86400 ; expire (1 day)
60 ; minimum (1 minute)
)
paypal.com. 600 IN RRSIG SOA 5 2 600 (
20141102124944 20141003114944 11811 paypal.com.
yLPcLzn04zyL7fya1MFuTUR/hrao2sS7g4XJaHMDu+nR
o9HqYgq22nTdk94WIbLkRzz+cY2UMuZPEiRBI1lkM27Y
q2VIiaoJ/X1MJir8S30WQnD2A9Qhz58L6I27Ay7rpY5E
/h9i+ORYLgKhOK1F9YmmNzKU5Bu9o7KD25wYaQo= )
paypal.com. 300 IN NS ns2.isc-sns.com.
paypal.com. 300 IN NS ns1.isc-sns.net.
paypal.com. 300 IN NS ns3.isc-sns.info.
paypal.com. 300 IN RRSIG NS 5 2 300 (
20141029034443 20140929031602 11811 paypal.com.
XcP8OEAHgKX6nvlKIf8KZKe6A8OYCjMIRoFiYZmav8/h
fZBEEfRFXwqkTGWwmrijbK/I4rsIexotEV1QrutvxXTq
1tj2uUZnubpJ0BBWPV3YqNElNpZtUVQjZDU+P8Crjsp4
AU/tI2BUKdQ8DHlCx7ucYaHKXoKohynz4KsQMrI= )
paypal.com. 300 IN A 66.211.169.3
paypal.com. 300 IN A 66.211.169.66
paypal.com. 300 IN RRSIG A 5 2 300 (
20141012045331 20140912040703 11811 paypal.com.
X+a7If1/wB/Cr7cKbZ26WRWF5LF5DAwC04NOILmfZiA8
TU7GOVUeJzwH32FJbLc0THXLLvP+73Ww62bQJctDHEs+
oxo/+KcjBc43OuNjxVxHcd2eVqcZzQjvwvLnjIYunGv+
HAIy+gOIuNYMBXNwwx7kort+u0qnz0hqOoqVLk0= )
paypal.com. 600 IN MX 10 lore.ebay.com.
paypal.com. 600 IN MX 10 gort.ebay.com.
paypal.com. 600 IN MX 10 data.ebay.com.
paypal.com. 600 IN RRSIG MX 5 2 600 (
20141029042120 20140929033055 11811 paypal.com.
gX6eNo533x43/HqqUFRwrmRl1pZVInXEQ8Fp343j4qKX
tHFuZccN8kK0IPFxPUT3n5fCqDYGKZHsFGfgtMETxRmX
bGT8cDZLfuuj3Or76wIK580CLEWr+ojENBUlgVG+eGLQ
j57vN0jDJOjT2ikFwbMrkvp010Q7dY7gyjcKDxg= )
paypal.com. 300 IN TXT "yandex-verification: 73acb90f6a9abd76"
paypal.com. 300 IN TXT "google-site-verification=NrhK1Hj7KuCPua1OcvfacDawt46H9VjByS4IAw5vsFA"
paypal.com. 300 IN TXT "MS=ms96239109"
paypal.com. 300 IN TXT "v=spf1 include:pp._spf.paypal.com include:3rdparty._spf.paypal.com include:3rdparty1._spf.paypal.com include:3rdparty2._spf.paypal.com include:3rdparty3._spf.paypal.com include:c._spf.ebay.com ~all"
paypal.com. 300 IN RRSIG TXT 5 2 300 (
20141028061650 20140928053712 11811 paypal.com.
i41mm1GPpmnFSbnw4TPI8WCUaFbTbr1yjSEc0jr0qIdI
DB4B0DwGJ/dWjcebhIipvxLmNFyU/OMTmhyMuiwETd59
H2+vqAKL0yluiQ8rXad2Af8c5q/FrDLIHDhPfoAMwfkk
KeW1zPtok6rCVsRnZ56NGu9qZwhTKc1W45ge28U= )
paypal.com. 60 IN NSEC 0cd20b6fe61233e4a24bf70f30c9ba46.paypal.com. A NS SOA MX TXT RRSIG NSEC DNSKEY
paypal.com. 60 IN RRSIG NSEC 5 2 60 (
20141021120919 20140921115208 11811 paypal.com.
q1huAKE7MYd5bSp9ZDzXDlw8hYBvg4mgaNgAtvcwfh8s
vICVdwN0ReyecdC6MA21TE4hrqTkAbeeqEnaso3iKg3A
lfFxl5n56+oI2IikGcWTWyw8SEfzAIlZNByPbbj1CZeK
OJojZh3ZZMPpX1sWmQHZjqXWJ/bC0vJHbcWXX9A= )
paypal.com. 600 IN DNSKEY 256 3 5 (
AwEAAc/7r7w6qEg59vzyfcKgIm7K3h43tglKOJjoFyK5
lxhl2e7vh8Cwvj3cwKQHccsvWuvAK0ummTSysxZT0JJg
w8gkhIGGiZ63MJTcbocDezgZiA/q4ejpjdrj27gs5mCH
AsyC9BAVZiysfIwqtRFsP0GjivNYzIc6qGWAXcAJKLLX
) ; ZSK; alg = RSASHA1; key id = 11811
paypal.com. 600 IN DNSKEY 257 3 5 (
AwEAAdVtmC6yOQb0+5MT5ezC9GJsCb10WkVE1qMAbilA
N5KZ0/wJD+4P1/WB7ctXC0RnEjHzVrKmLsFzRb3mpI9w
m0cf5pN8BHMSVfdDpycjNyGbMy7EKJ77POD7lSimJouM
x5Tp+HQaJZeU0MnXJkR4qaAvShr5iNtVaopOuIXQfRDn
LdDoxETw9XplIL9wkpe1gW5uQNk+Fhy4PRyf+e5yhgiZ
jemmRiEDJH+FxCUAf8ZV+xHSuucWKY3V1tEheptdUaIA
bnCGDWGTbi9ziai6SrLzRrrDeImwm42PkxD5cURMWqHQ
IBfEJlDB+koqWPm73sDPMlPgoBUyxb/w5JFLV+c=
) ; KSK; alg = RSASHA1; key id = 21037
paypal.com. 600 IN RRSIG DNSKEY 5 2 600 (
20141019085803 20140919083254 11811 paypal.com.
yu1/snbuXwA9TLg+jRT/1aUU1VkRtpMSfMtcqfWPDw+2
fdNKyzB69wegoh0chN+5AXnjsfy4YDEShTxrP+YBh+Bs
Vm6GCJXk78caTPMwt6A7YWnLMJuIh/17SdIUSjIGtf1C
XZnvciGoSHaZzcwv0HtHYMY0hGAC16MnhIflwTI= )
paypal.com. 600 IN RRSIG DNSKEY 5 2 600 (
20141019085803 20140919083254 21037 paypal.com.
SLlDxrXTPkQWPrFcFYNVkx8uGo3vK1sgvcXYd6PerNwC
GH04rYw5j1FTVo2ZSbl1T/9Btd/IHJ+94ZGsV7V/URe1
1d58hVQZGPoJkSoFc9Mg1NsGMBkEb5rDsClYDFz3XfW8
kijl2gu3/viN2D3ffMvLdcK8xBSVon5nSNzJdr7La8bO
qfxpnVBSHu7K6dg/KNPJQ40YhdgUJZbCSURxmT1q4Kv+
uGPDfIeMvx1Rr7bOFwSjWOuE81m3DVoJLE/z+sk9Xdxk
EiI1TJzG3mVHpeyDSZcH0bxL2la7nT4VogIEItZtNOHb
t7XBZw025kxJxbfbsjjPa+IYVvtf/JbbUQ== )
[/spoiler]

1121684 03.10.2014 20:50
я на своем вобще все восстановил так и cname-ы и о что по маске было.....от чего и задумался вобщем-то

1121684 03.10.2014 20:50
и сериалы и ттли тоже кста )))

1121684 03.10.2014 20:56
+5 на ех беспланых слейвах функцилнал урезан до двух полей домен мастер и кнопки активировать остальное за деньги...я стянуть по-другому не мог никак не сморя на то что сам их туда реплицировал... и тут такое....

1121684 03.10.2014 20:58
он мне все выдал с хешами и ds,rr,nsec я изюминки повыдирал - читаемые имена и прошелся по ним nslookup-м получил готовый файл зоны...

droidman 03.10.2014 21:34
Да, ошибсо, спутал с XFR =)
Погонял [em]dig +nocmd example.domain any +multiline +noall +answer @nameserver.domain[/em] по своим сервакам - ничё криминального не выдаёт - soa, ns, spf и основную А-шку. Мож потому что не делал DNSSEC ваще?) У меня NSD, кстати. Пойду пока читать [url=http://www.nlnetlabs.nl/publications/dnssec_howto/]это[/url].

1121684 03.10.2014 21:48
ну private ключи я ясен пень не восстановил...их и на слейвах не было ток у меня....теперь пока nic примени новые, пока ттл-и закончатся.....на dnsviz красные стрелки восклицательные значки и надписи bogus несуществующий ключ старый и вообще много красного ))))))

1121684 03.10.2014 21:50
9-droidman > я тож nsd 4 сейчас пробую, боевые давно надо на что-то перевести, я пока так проверяю....да похоже имено nsec вносит эту фичу по перебору ресурсов + dns amplification атаки можно словить....пока рассматриваю, собрал nsd с rate limit .... fail2ban хотел прикруить но nsd какой-то совсем не многословный в логах ....

1121684 03.10.2014 21:58
хотя есть ещё один момент, у меня ам маска в конце * in cname
где-т попадалось, чо может похожая шляпа случиться из-за маски, как-то связано с nsec кторый отдает ссылку на следующую запись и там важен порядок маски вначале вроде как плохо...если правильно все понял, дык вот после ldns-signzone в подписаном файле зоны маска наверху относительно остальных выше только A для @origin,MX,TXT,NS,SOA

1121684 03.10.2014 22:12
ну и по идее я протупил ещё KSK key же был на nic-e(они запрашивают для ру зоны)....надо было просто перегенирить ZSK и переподписать все по идее ( хотя могу тут ошибаться я ещё не вкурил до конца

1121684 03.10.2014 22:16
кстати тоже занятно
[quote]Правила внесения информации для настройки DNSSEC

Для доменов .RU, .РФ и .SU необходимо указать DNSKEY и DS-записи. Для международных и зарубежных доменов достаточно указать только DS-записи. [/quote]
оттакот.....если я все правильно понимаю, то ....грустно это ))))

1121684 03.10.2014 22:37
а я ошибался без private нифига не выйдет key это открытый ключ не смотря на то что в ldns-signzone явно указывается только открытый, если убрать private то
Error: unable to read ./KSK/Kdeleted.ru.+007+30025.private: No such file or directory

1121684 03.10.2014 22:41
вернее он там без разрешения...private сам подставляет вот оно че...протупил
вроде все верно ksk ds и key отправил регистратору, zsk он для подписей записей внутри зоны
тогда косяк или в * или в алгоритме все-таки....ну не может быть же так задумано ))))

1121684 03.10.2014 22:48
[quote=701054;36706655]разрешения[/quote] расширения ...все пора спать, а с утра в планах ещё мыльник поднять было и dkim прикрутить.... )))

1121684 04.10.2014 15:11
хм....погонял не отдает теперь ничего лишнего вроде....похоже как-то криво был составлен файл зоны, попробовал унести * наверх - зона подписалась, но ошибок много..добавил в скрипт се ldns-checkzone на всяк - оч похоже на косяк из-за кривизны рук был...

droidman 04.10.2014 20:10
увод зоны это не shellshock =) но тоже неприятно

1121684 04.10.2014 22:03
та просто с таким косяком будут долбать все кому не лень точно в базах любителей поддосить dns amplification светанусь )))


Текущее время: 15:51. Часовой пояс GMT +3.