DNSSEC какой алгоритм все-таки лучше ?- Сети и их администрирование

Гость

0 - 03.10.2014 - 19:54

https://www.iana.org/assignments/dns...-numbers.xhtml
пробовал 7-й NSEC3 он гад все-таки дает перебирать(enumerate) ресурсы, т.к. nsec содержит ссылку на следующий, и пускай в отличии от чистого nsec он показывает только хэш, что мешает сделать мини скрипт и тупо запросить по имени....получив тоже что с nsec
смотрю на 14, на корневых 8-й
кто-нибудь разбирался в вопросе ?

Гость

1 - 03.10.2014 - 20:16

ээ, а разве доступ к DNSSEC имеют все желающие?) там же ограничивают всегда ip-шниками слейвов/мастеров

Гость

2 - 03.10.2014 - 20:34

почиал справку на nic.ru )))

Поддерживаемые алгоритмы для генерации ключей:

RSA/SHA-1
RSA/SHA-256
GOST R 34-10.2001

все таки вопрос открыт то что по быстрдействию - это я понял...по вражеской презенташке ))) http://video.ch9.ms/teched/2012/na/WSV325.pptx

1-droidman >
да я тут ключи проерял вместе с зонами своими тестовыми када виртуалку переподнимал да в общем весь конфиг потерял.... и как выяснилось не все так сложно, стащил со слейвов (они за бугрм бесплатные секондари с днссек)

dig +nocmd example.domain any +multiline +noall +answer @nameserver.domain

Гость

3 - 03.10.2014 - 20:39

1-droidman > зачем ? то TSIG обычно для передачи зон в хэшированом виде, а dnssec это все-таки идентификация подлиности сервера, аналог ssl только для dns не ? или я чего-то не понимаю .....

Гость

4 - 03.10.2014 - 20:47

http://dnsviz.net/d/paypal.com/dnssec/
на примере палки у них видно что работает и ключики дает для проверки и ресурсы перебирает(но не все они видимо что-то знают чего я не знаю ))))

Скрытый текст

dig +nocmd paypal.com any +multiline +noall +answer @ns1.isc-sns.net
paypal.com. 600 IN SOA ppns1.phx.paypal.com. hostmaster.paypal.com. (
2012182591 ; serial
7200 ; refresh (2 hours)
900 ; retry (15 minutes)
86400 ; expire (1 day)
60 ; minimum (1 minute)
)
paypal.com. 600 IN RRSIG SOA 5 2 600 (
20141102124944 20141003114944 11811 paypal.com.
yLPcLzn04zyL7fya1MFuTUR/hrao2sS7g4XJaHMDu+nR
o9HqYgq22nTdk94WIbLkRzz+cY2UMuZPEiRBI1lkM27Y
q2VIiaoJ/X1MJir8S30WQnD2A9Qhz58L6I27Ay7rpY5E
/h9i+ORYLgKhOK1F9YmmNzKU5Bu9o7KD25wYaQo= )
paypal.com. 300 IN NS ns2.isc-sns.com.
paypal.com. 300 IN NS ns1.isc-sns.net.
paypal.com. 300 IN NS ns3.isc-sns.info.
paypal.com. 300 IN RRSIG NS 5 2 300 (
20141029034443 20140929031602 11811 paypal.com.
XcP8OEAHgKX6nvlKIf8KZKe6A8OYCjMIRoFiYZmav8/h
fZBEEfRFXwqkTGWwmrijbK/I4rsIexotEV1QrutvxXTq
1tj2uUZnubpJ0BBWPV3YqNElNpZtUVQjZDU+P8Crjsp4
AU/tI2BUKdQ8DHlCx7ucYaHKXoKohynz4KsQMrI= )
paypal.com. 300 IN A 66.211.169.3
paypal.com. 300 IN A 66.211.169.66
paypal.com. 300 IN RRSIG A 5 2 300 (
20141012045331 20140912040703 11811 paypal.com.
X+a7If1/wB/Cr7cKbZ26WRWF5LF5DAwC04NOILmfZiA8
TU7GOVUeJzwH32FJbLc0THXLLvP+73Ww62bQJctDHEs+
oxo/+KcjBc43OuNjxVxHcd2eVqcZzQjvwvLnjIYunGv+
HAIy+gOIuNYMBXNwwx7kort+u0qnz0hqOoqVLk0= )
paypal.com. 600 IN MX 10 lore.ebay.com.
paypal.com. 600 IN MX 10 gort.ebay.com.
paypal.com. 600 IN MX 10 data.ebay.com.
paypal.com. 600 IN RRSIG MX 5 2 600 (
20141029042120 20140929033055 11811 paypal.com.
gX6eNo533x43/HqqUFRwrmRl1pZVInXEQ8Fp343j4qKX
tHFuZccN8kK0IPFxPUT3n5fCqDYGKZHsFGfgtMETxRmX
bGT8cDZLfuuj3Or76wIK580CLEWr+ojENBUlgVG+eGLQ
j57vN0jDJOjT2ikFwbMrkvp010Q7dY7gyjcKDxg= )
paypal.com. 300 IN TXT "yandex-verification: 73acb90f6a9abd76"
paypal.com. 300 IN TXT "google-site-verification=NrhK1Hj7KuCPua1OcvfacDawt46H9VjByS4IAw5vsFA"
paypal.com. 300 IN TXT "MS=ms96239109"
paypal.com. 300 IN TXT "v=spf1 include:pp._spf.paypal.com include:3rdparty._spf.paypal.com include:3rdparty1._spf.paypal.com include:3rdparty2._spf.paypal.com include:3rdparty3._spf.paypal.com include:c._spf.ebay.com ~all"
paypal.com. 300 IN RRSIG TXT 5 2 300 (
20141028061650 20140928053712 11811 paypal.com.
i41mm1GPpmnFSbnw4TPI8WCUaFbTbr1yjSEc0jr0qIdI
DB4B0DwGJ/dWjcebhIipvxLmNFyU/OMTmhyMuiwETd59
H2+vqAKL0yluiQ8rXad2Af8c5q/FrDLIHDhPfoAMwfkk
KeW1zPtok6rCVsRnZ56NGu9qZwhTKc1W45ge28U= )
paypal.com. 60 IN NSEC 0cd20b6fe61233e4a24bf70f30c9ba46.paypal.com. A NS SOA MX TXT RRSIG NSEC DNSKEY
paypal.com. 60 IN RRSIG NSEC 5 2 60 (
20141021120919 20140921115208 11811 paypal.com.
q1huAKE7MYd5bSp9ZDzXDlw8hYBvg4mgaNgAtvcwfh8s
vICVdwN0ReyecdC6MA21TE4hrqTkAbeeqEnaso3iKg3A
lfFxl5n56+oI2IikGcWTWyw8SEfzAIlZNByPbbj1CZeK
OJojZh3ZZMPpX1sWmQHZjqXWJ/bC0vJHbcWXX9A= )
paypal.com. 600 IN DNSKEY 256 3 5 (
AwEAAc/7r7w6qEg59vzyfcKgIm7K3h43tglKOJjoFyK5
lxhl2e7vh8Cwvj3cwKQHccsvWuvAK0ummTSysxZT0JJg
w8gkhIGGiZ63MJTcbocDezgZiA/q4ejpjdrj27gs5mCH
AsyC9BAVZiysfIwqtRFsP0GjivNYzIc6qGWAXcAJKLLX
) ; ZSK; alg = RSASHA1; key id = 11811
paypal.com. 600 IN DNSKEY 257 3 5 (
AwEAAdVtmC6yOQb0+5MT5ezC9GJsCb10WkVE1qMAbilA
N5KZ0/wJD+4P1/WB7ctXC0RnEjHzVrKmLsFzRb3mpI9w
m0cf5pN8BHMSVfdDpycjNyGbMy7EKJ77POD7lSimJouM
x5Tp+HQaJZeU0MnXJkR4qaAvShr5iNtVaopOuIXQfRDn
LdDoxETw9XplIL9wkpe1gW5uQNk+Fhy4PRyf+e5yhgiZ
jemmRiEDJH+FxCUAf8ZV+xHSuucWKY3V1tEheptdUaIA
bnCGDWGTbi9ziai6SrLzRrrDeImwm42PkxD5cURMWqHQ
IBfEJlDB+koqWPm73sDPMlPgoBUyxb/w5JFLV+c=
) ; KSK; alg = RSASHA1; key id = 21037
paypal.com. 600 IN RRSIG DNSKEY 5 2 600 (
20141019085803 20140919083254 11811 paypal.com.
yu1/snbuXwA9TLg+jRT/1aUU1VkRtpMSfMtcqfWPDw+2
fdNKyzB69wegoh0chN+5AXnjsfy4YDEShTxrP+YBh+Bs
Vm6GCJXk78caTPMwt6A7YWnLMJuIh/17SdIUSjIGtf1C
XZnvciGoSHaZzcwv0HtHYMY0hGAC16MnhIflwTI= )
paypal.com. 600 IN RRSIG DNSKEY 5 2 600 (
20141019085803 20140919083254 21037 paypal.com.
SLlDxrXTPkQWPrFcFYNVkx8uGo3vK1sgvcXYd6PerNwC
GH04rYw5j1FTVo2ZSbl1T/9Btd/IHJ+94ZGsV7V/URe1
1d58hVQZGPoJkSoFc9Mg1NsGMBkEb5rDsClYDFz3XfW8
kijl2gu3/viN2D3ffMvLdcK8xBSVon5nSNzJdr7La8bO
qfxpnVBSHu7K6dg/KNPJQ40YhdgUJZbCSURxmT1q4Kv+
uGPDfIeMvx1Rr7bOFwSjWOuE81m3DVoJLE/z+sk9Xdxk
EiI1TJzG3mVHpeyDSZcH0bxL2la7nT4VogIEItZtNOHb
t7XBZw025kxJxbfbsjjPa+IYVvtf/JbbUQ== )

Гость

5 - 03.10.2014 - 20:50

я на своем вобще все восстановил так и cname-ы и о что по маске было.....от чего и задумался вобщем-то

Гость

6 - 03.10.2014 - 20:50

и сериалы и ттли тоже кста )))

Гость

7 - 03.10.2014 - 20:56

+5 на ех беспланых слейвах функцилнал урезан до двух полей домен мастер и кнопки активировать остальное за деньги...я стянуть по-другому не мог никак не сморя на то что сам их туда реплицировал... и тут такое....

Гость

8 - 03.10.2014 - 20:58

он мне все выдал с хешами и ds,rr,nsec я изюминки повыдирал - читаемые имена и прошелся по ним nslookup-м получил готовый файл зоны...

Гость

9 - 03.10.2014 - 21:34

Да, ошибсо, спутал с XFR =)
Погонял dig +nocmd example.domain any +multiline +noall +answer @nameserver.domain по своим сервакам - ничё криминального не выдаёт - soa, ns, spf и основную А-шку. Мож потому что не делал DNSSEC ваще?) У меня NSD, кстати. Пойду пока читать это.

Гость

10 - 03.10.2014 - 21:48

ну private ключи я ясен пень не восстановил...их и на слейвах не было ток у меня....теперь пока nic примени новые, пока ттл-и закончатся.....на dnsviz красные стрелки восклицательные значки и надписи bogus несуществующий ключ старый и вообще много красного ))))))

Гость

11 - 03.10.2014 - 21:50

9-droidman > я тож nsd 4 сейчас пробую, боевые давно надо на что-то перевести, я пока так проверяю....да похоже имено nsec вносит эту фичу по перебору ресурсов + dns amplification атаки можно словить....пока рассматриваю, собрал nsd с rate limit .... fail2ban хотел прикруить но nsd какой-то совсем не многословный в логах ....

Гость

12 - 03.10.2014 - 21:58

хотя есть ещё один момент, у меня ам маска в конце * in cname
где-т попадалось, чо может похожая шляпа случиться из-за маски, как-то связано с nsec кторый отдает ссылку на следующую запись и там важен порядок маски вначале вроде как плохо...если правильно все понял, дык вот после ldns-signzone в подписаном файле зоны маска наверху относительно остальных выше только A для @origin,MX,TXT,NS,SOA

Гость

13 - 03.10.2014 - 22:12

ну и по идее я протупил ещё KSK key же был на nic-e(они запрашивают для ру зоны)....надо было просто перегенирить ZSK и переподписать все по идее ( хотя могу тут ошибаться я ещё не вкурил до конца

Гость

14 - 03.10.2014 - 22:16

кстати тоже занятно

Цитата:

Правила внесения информации для настройки DNSSEC

Для доменов .RU, .РФ и .SU необходимо указать DNSKEY и DS-записи. Для международных и зарубежных доменов достаточно указать только DS-записи.

оттакот.....если я все правильно понимаю, то ....грустно это ))))

Гость

15 - 03.10.2014 - 22:37

а я ошибался без private нифига не выйдет key это открытый ключ не смотря на то что в ldns-signzone явно указывается только открытый, если убрать private то
Error: unable to read ./KSK/Kdeleted.ru.+007+30025.private: No such file or directory

Гость

16 - 03.10.2014 - 22:41

вернее он там без разрешения...private сам подставляет вот оно че...протупил
вроде все верно ksk ds и key отправил регистратору, zsk он для подписей записей внутри зоны
тогда косяк или в * или в алгоритме все-таки....ну не может быть же так задумано ))))

Гость

17 - 03.10.2014 - 22:48

Цитата:

Сообщение от 701054

разрешения

расширения ...все пора спать, а с утра в планах ещё мыльник поднять было и dkim прикрутить.... )))

Гость

18 - 04.10.2014 - 15:11

хм....погонял не отдает теперь ничего лишнего вроде....похоже как-то криво был составлен файл зоны, попробовал унести * наверх - зона подписалась, но ошибок много..добавил в скрипт се ldns-checkzone на всяк - оч похоже на косяк из-за кривизны рук был...

Гость

19 - 04.10.2014 - 20:10

увод зоны это не shellshock =) но тоже неприятно

Гость

20 - 04.10.2014 - 22:03

та просто с таким косяком будут долбать все кому не лень точно в базах любителей поддосить dns amplification светанусь )))