DNSSEC sonrası yaşanabilecek muhtemel sorunlar

5 Mayıs 2010 tarihi itibariyle tüm root dns sunucular DNSSEC desteğine kavuştu. DNSSEC nedir diyorsanız https://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/dnssec-ile-biraz-daha-guvende-miyiz.html adresindeki makale kısa sürede konu hakkında bilgilenmenize yardımcı olacaktır.

DNSSEC sonrası bazı sistemlerde sorun yaşanabilir? Bu sorunlar ve sebepleri kısaca açıklamaya çalışalım.

RFC x’e göre DNS(UDP) paketleri 512 bytedan büyük olamaz. 512 bytedan büyük DNS paketlerinde UDP’den TCP’e geçiş yapılır ya da sistem destekliyorsa EDNS0(RFC 2671) özelliği kullanılır.
Günümüzde çok az sayıda da olsa bazı ağ/güvenlik cihazları 512 bytedan büyük DNS(UDP) paketlerini engellemektedir.(Cisco PIX cihazlarda 512 bytedan büyük udp paketlerinin engellenmesi öntanımlı olarak gelir), DNSSEC kullanıldığında da dns cevap paketlerinin boyutu 512 byte aşabilmektedir. Bu durumda eğer 512 byte sorunlu bir ağ/güvenlik cihazı kullanıyorsanız dns konusunda problem yaşayabilirsiniz.
Klasik bir DNS isteği ve cevabı

# dig www.lifeoverip.net
; <<>> DiG 9.6.1-P1 <<>> www.lifeoverip.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51212
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.lifeoverip.net.            IN      A
;; ANSWER SECTION:
www.lifeoverip.net.     9707    IN      CNAME   lifeoverip.net.
lifeoverip.net.         9708    IN      A       91.93.119.80
;; AUTHORITY SECTION:
lifeoverip.net.         41617   IN      NS      ns3.tekrom.com.
lifeoverip.net.         41617   IN      NS      ns4.tekrom.com.
;; ADDITIONAL SECTION:
ns3.tekrom.com.         9669    IN      A       70.84.223.226
ns4.tekrom.com.         9669    IN      A       70.84.223.227
;; Query time: 2 msec
;; SERVER: 195.175.39.40#53(195.175.39.40)
;; WHEN: Wed May  5 22:22:44 2010
;; MSG SIZE  rcvd: 144

çıktının en son satırına bakılacak olursa cevabın boyutu 144 byte, benzeri bir sorguyu DNSSEC kullanarak gerçekleştirirsek dönen DNS cevabı çok daha büyük olacaktır.
DNSSEC destekli DNS sorgusu ve cevabı

# dig +dnssec www.ripe.net @ns3.nic.fr
; <<>> DiG 9.6.1-P1 <<>> +dnssec www.ripe.net @ns3.nic.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53747
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.ripe.net.                  IN      A
;; ANSWER SECTION:
www.ripe.net.           172800  IN      A       193.0.6.139
www.ripe.net.           172800  IN      RRSIG   A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. sf4Dwm+GhDpr8rugFO7irAMX+VArEGYyd0snu5j5P1Dm/JtFxAcpn2Ve JKrx0BrPd0Wz6ZriR7Hy+kkDdb7PGFYqIm/Oc0r1sPzlfkrpNziqMhpH SPYyrKhO8nGgErS/cE+2bZQ0JFGi4b0lZtm35ip2Yh7c3YyCe66c+uPz mf/a5x/lJs8qxidcjPamZ/bTz6OSRbrp
;; AUTHORITY SECTION:
ripe.net.               172800  IN      NS      ns3.nic.fr.
ripe.net.               172800  IN      NS      ns-pri.ripe.net.
ripe.net.               172800  IN      NS      sns-pb.isc.org.
ripe.net.               172800  IN      NS      sunic.sunet.se.
ripe.net.               172800  IN      RRSIG   NS 5 2 172800 20100604050008 20100505050008 47391 ripe.net. 3+IKrtiq6M8Xdfq86NvnJPVugRVcWewx6wp/3YuDOgbV/tFcS3rtYudV YDwK0SlELCQTbFDwmSI6nGBc1TfYowgIhAYGozZm6Tob+Cl5d3L9hqa0 9whbwg39RrCFA4fnLNhdWo49BwgiFFNrItWDcogPtL5lrVgexALQeIAF aRq3kIAUtNVmTvKEnnlY9k0Bowd+UfwD
;; ADDITIONAL SECTION:
ns3.nic.fr.             172800  IN      A       192.134.0.49
ns3.nic.fr.             172800  IN      AAAA    2001:660:3006:1::1:1
ns-pri.ripe.net.        172800  IN      A       193.0.0.195
ns-pri.ripe.net.        172800  IN      AAAA    2001:610:240:0:53::3
ns-pri.ripe.net.        172800  IN      RRSIG   A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. ITnSKVEA+i+9s8NHNgM71s3eG/f78f1m94TQhkO0zEwHyKpWHcQL6qLP 91KhTZlQDeh0Ia+1En5sX0eJNK/7dZ5HFhSoi8Ef6npROvAQns3HKziW WJAeCCK3wVzUPZWUk4bIQd+NxpqWhfkDwWIqAeII6WGIm1Hn9SHkUI3z 6E2nDmR1AzxLogH7fssUsKseV1fQvB0/
ns-pri.ripe.net.        172800  IN      RRSIG   AAAA 5 3 172800 20100604050008 20100505050008 47391 ripe.net. GAvzp6SrAcFrptvzb5o3sYGWjhPlLPqi5Rsju4b/QY8TkGcA09/cWL2y SjMnZOr1nivjKc9EEgscbc1kHb3xo9cS4c4S1eWUsxShQDn1Qd1qItEK L/Rt0oWVYX+/aQpgM/frp9JVXLdyi8H2IKayq76RwWkiJOiJzbUdk/+d cUSrSSuMhPvkkrZZxXfNgoDWTPTSalm2
;; Query time: 196 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Wed May  5 21:46:45 2010
;; MSG SIZE  rcvd: 1006
çıktının son satırı dikkatlice incelenirse 1006 byte olduğu görülecektir.  DNS cevaplarındaki 512 byte sınırını aşmak için çözücü tarafın(resolver) EDNS0 desteğinin olması ve aradaki cihazların da bu özelliği desteklemesi gerekmektedir.
Sisteminizin DNSSEC sorunu yaşayıp yaşamadığını https://www.dns-oarc.net/oarc/services/replysizetest adresinde anlatılan yönergelerle test edebilirsiniz.
Cisco sistemler için yapılması gereken ayarlara http://www.cisco.com/web/about/security/intelligence/dns-bcp.html adresinden ulaşabilirsiniz.
This entry was posted in Cisco and tagged . Bookmark the permalink.

4 Responses to DNSSEC sonrası yaşanabilecek muhtemel sorunlar

  1. Eline sağlık Huzeyfe. Yaşanabilecek pratik sorunlar açısından sistem sahipleri ve son kullanıcılar için çok faydalı buldum verdiğin bilgileri. DNSSEC tüm hizmet sağlayıcılara yayıldığında, cevap boyutu hakkındaki tedbirleri de paralel olarak uygularlar diye tahmin ediyorum. Aslında IPv6 geçişi ile benzer problem sahaları var. Koordinasyon ihtiyacı ve gönüllülük esası. Selamlar…

  2. Pingback: DnsSec (DNSSEC might kill your internet?) @ Sec "IP" nix

  3. Ali Kapucu says:

    sağol hocam bu bilgiler iyi oldu. İzninle bu yazının ingilizce versiyonunu yayınlamak istiyorum sitemde.

Leave a Reply

Your email address will not be published. Required fields are marked *

ten + fifteen =