DNSサーバーでDNSSECを有効にしましたか?そうでない場合は、バインドベースのDNSサーバーでDNSSECを有効にする方法を学びます。安全なDNSサーバーを検証するDNSSECをインストールして構成したら、正しくテストするようにしてください。管理者として、DNSSEC対応のDNSサーバーをセットアップした後に実行する必要がある基本的なテストは次のとおりです。 Authenticated Data(AD)フラグを報告して、DNSSEC署名されたDNSドメインが正しく検証され、DNSSECが壊れているDNSドメインがSERVFAILで検証されていないことを確認します。ただし、リゾルバーは通常どおり非DNSSECドメインを解決する必要があります。コマンドとWebサービスの両方を使用してDNSSECを検証する方法を説明します。
digを使用してDNSSEC署名済みドメインを検証する方法
dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi
今すぐDNSSEC署名済みドメインをテストしましょう!
$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssectest.sidn.nl. IN A ;; ANSWER SECTION: dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl. dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 ( 20131114071501 42033 sidn.nl. oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= ) www.sidn.nl. 10466 IN A 213.136.31.220 www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 ( 20131113071501 42033 sidn.nl. QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= ) ;; Query time: 1610 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:43:14 2013 ;; MSG SIZE rcvd: 415
上記の出力で、FLAGSに設定されているAuthenticated Data(AD)を探します。 DOフラグが設定されたDNSSEC署名付きDNSドメイン(DNSSEC OK)を要求すると、ヘッダーに認証済み応答(AD)フラグが設定されます。
壊れたまたは誤って構成されたDNSSECドメインの検証
$ dig dnssec-or-not.org +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec-or-not.org. IN A ;; Query time: 334 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:46:32 2013 ;; MSG SIZE rcvd: 46
DNSSECの問題があるドメインを解決しようとすると、 SERVFAILが返されます。 ヘッダーの戻りコードとして。上記の出力からSERVFAILを探します。
DNSSECに署名されていないドメインを検証すると、通常どおり解決されます
$ dig espncricinfo.com +dnssec +multi ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;espncricinfo.com. IN A ;; ANSWER SECTION: espncricinfo.com. 102 IN A 80.168.92.141 ;; Query time: 431 msec ;; SERVER: 10.180.8.115#53(10.180.8.115) ;; WHEN: Thu Nov 14 16:51:12 2013 ;; MSG SIZE rcvd: 61
DNSSEC署名されていないドメインを解決しようとすると、正常に解決されるはずです。なぜespncricinfo.com?さて、私はサチン・テンドルカールの西インド諸島との最後と200回目のテストマッチを見ていました。なんて伝説だ!
DNSSECテスト用のWebサービスはほとんどありません
DNSVIZ
DNSゾーンのステータスを視覚化するためのWebサービスです。 DNSSEC認証チェーンとその解決パスの視覚的な分析を提供することにより、DNSSEC展開の問題を理解してトラブルシューティングするのに役立ちます。このツールは、検証プロセス中に構成エラーを一覧表示することができます。
DNSVIZをチェックアウトします。
ZoneCheck
ZoneCheckは、DNSの設定ミスを見つけて解決できるシンプルなツールです。ゾーンの構成や不整合(アプリケーションの遅延による)が正しくないかどうかをチェックし、レポートを生成します。
ZoneCheckを確認してください。VerisignのSecSpider
SecSpiderは、DNSSECの展開メトリック、可用性メトリック、検証可能性メトリック、検証メトリックなどを監視します…
SecSpiderを確認してください。
その他…
*VerisignLabsは「DNSSECかどうか」を開発しました。バリデーター。こちらでチェックアウトしてください。
* SIDNは「あなたは保護されたDNSSECですか?」を開発しました–ここでチェックアウトします。
*ネットワークテストツールであるICSINetalyzerには、DNSSEC検証も含まれています–チェックアウトはこちら
*ドイツのデュッセルドルフ大学からの同様のもの–ここでチェックアウトしてください。
読む:DNSSECの初心者向けガイド
読む:バインド時にDNSSECを設定する方法