5 Mayıs 2010 tarihi itibariyle tüm root dns sunucular DNSSEC desteğine kavuştu. DNSSEC nedir diyorsanız https://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/dnssec-ile-biraz-daha-guvende-miyiz.html adresindeki makale kısa sürede konu hakkında bilgilenmenize yardımcı olacaktır.
DNSSEC sonrası bazı sistemlerde sorun yaşanabilir? Bu sorunlar ve sebepleri kısaca açıklamaya çalışalım.
RFC x’e göre DNS(UDP) paketleri 512 bytedan büyük olamaz. 512 bytedan büyük DNS paketlerinde UDP’den TCP’e geçiş yapılır ya da sistem destekliyorsa EDNS0(RFC 2671) özelliği kullanılır.
Günümüzde çok az sayıda da olsa bazı ağ/güvenlik cihazları 512 bytedan büyük DNS(UDP) paketlerini engellemektedir.(Cisco PIX cihazlarda 512 bytedan büyük udp paketlerinin engellenmesi öntanımlı olarak gelir), DNSSEC kullanıldığında da dns cevap paketlerinin boyutu 512 byte aşabilmektedir. Bu durumda eğer 512 byte sorunlu bir ağ/güvenlik cihazı kullanıyorsanız dns konusunda problem yaşayabilirsiniz.
Klasik bir DNS isteği ve cevabı
# dig www.lifeoverip.net
; <<>> DiG 9.6.1-P1 <<>> www.lifeoverip.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51212
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.lifeoverip.net. IN A
;; ANSWER SECTION:
www.lifeoverip.net. 9707 IN CNAME lifeoverip.net.
lifeoverip.net. 9708 IN A 91.93.119.80
;; AUTHORITY SECTION:
lifeoverip.net. 41617 IN NS ns3.tekrom.com.
lifeoverip.net. 41617 IN NS ns4.tekrom.com.
;; ADDITIONAL SECTION:
ns3.tekrom.com. 9669 IN A 70.84.223.226
ns4.tekrom.com. 9669 IN A 70.84.223.227
;; Query time: 2 msec
;; SERVER: 195.175.39.40#53(195.175.39.40)
;; WHEN: Wed May 5 22:22:44 2010
;; MSG SIZE rcvd: 144
çıktının en son satırına bakılacak olursa cevabın boyutu 144 byte, benzeri bir sorguyu DNSSEC kullanarak gerçekleştirirsek dönen DNS cevabı çok daha büyük olacaktır.
DNSSEC destekli DNS sorgusu ve cevabı
# dig +dnssec www.ripe.net @ns3.nic.fr
; <<>> DiG 9.6.1-P1 <<>> +dnssec www.ripe.net @ns3.nic.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53747
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.ripe.net. IN A
;; ANSWER SECTION:
www.ripe.net. 172800 IN A 193.0.6.139
www.ripe.net. 172800 IN RRSIG A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. sf4Dwm+GhDpr8rugFO7irAMX+VArEGYyd0snu5j5P1Dm/JtFxAcpn2Ve JKrx0BrPd0Wz6ZriR7Hy+kkDdb7PGFYqIm/Oc0r1sPzlfkrpNziqMhpH SPYyrKhO8nGgErS/cE+2bZQ0JFGi4b0lZtm35ip2Yh7c3YyCe66c+uPz mf/a5x/lJs8qxidcjPamZ/bTz6OSRbrp
;; AUTHORITY SECTION:
ripe.net. 172800 IN NS ns3.nic.fr.
ripe.net. 172800 IN NS ns-pri.ripe.net.
ripe.net. 172800 IN NS sns-pb.isc.org.
ripe.net. 172800 IN NS sunic.sunet.se.
ripe.net. 172800 IN RRSIG NS 5 2 172800 20100604050008 20100505050008 47391 ripe.net. 3+IKrtiq6M8Xdfq86NvnJPVugRVcWewx6wp/3YuDOgbV/tFcS3rtYudV YDwK0SlELCQTbFDwmSI6nGBc1TfYowgIhAYGozZm6Tob+Cl5d3L9hqa0 9whbwg39RrCFA4fnLNhdWo49BwgiFFNrItWDcogPtL5lrVgexALQeIAF aRq3kIAUtNVmTvKEnnlY9k0Bowd+UfwD
;; ADDITIONAL SECTION:
ns3.nic.fr. 172800 IN A 192.134.0.49
ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1
ns-pri.ripe.net. 172800 IN A 193.0.0.195
ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3
ns-pri.ripe.net. 172800 IN RRSIG A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. ITnSKVEA+i+9s8NHNgM71s3eG/f78f1m94TQhkO0zEwHyKpWHcQL6qLP 91KhTZlQDeh0Ia+1En5sX0eJNK/7dZ5HFhSoi8Ef6npROvAQns3HKziW WJAeCCK3wVzUPZWUk4bIQd+NxpqWhfkDwWIqAeII6WGIm1Hn9SHkUI3z 6E2nDmR1AzxLogH7fssUsKseV1fQvB0/
ns-pri.ripe.net. 172800 IN RRSIG AAAA 5 3 172800 20100604050008 20100505050008 47391 ripe.net. GAvzp6SrAcFrptvzb5o3sYGWjhPlLPqi5Rsju4b/QY8TkGcA09/cWL2y SjMnZOr1nivjKc9EEgscbc1kHb3xo9cS4c4S1eWUsxShQDn1Qd1qItEK L/Rt0oWVYX+/aQpgM/frp9JVXLdyi8H2IKayq76RwWkiJOiJzbUdk/+d cUSrSSuMhPvkkrZZxXfNgoDWTPTSalm2
;; Query time: 196 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Wed May 5 21:46:45 2010
;; MSG SIZE rcvd: 1006
çıktının son satırı dikkatlice incelenirse 1006 byte olduğu görülecektir. DNS cevaplarındaki 512 byte sınırını aşmak için çözücü tarafın(resolver) EDNS0 desteğinin olması ve aradaki cihazların da bu özelliği desteklemesi gerekmektedir.
Sisteminizin DNSSEC sorunu yaşayıp yaşamadığını https://www.dns-oarc.net/oarc/services/replysizetest adresinde anlatılan yönergelerle test edebilirsiniz.
Cisco sistemler için yapılması gereken ayarlara http://www.cisco.com/web/about/security/intelligence/dns-bcp.html adresinden ulaşabilirsiniz.
Eline sağlık Huzeyfe. Yaşanabilecek pratik sorunlar açısından sistem sahipleri ve son kullanıcılar için çok faydalı buldum verdiğin bilgileri. DNSSEC tüm hizmet sağlayıcılara yayıldığında, cevap boyutu hakkındaki tedbirleri de paralel olarak uygularlar diye tahmin ediyorum. Aslında IPv6 geçişi ile benzer problem sahaları var. Koordinasyon ihtiyacı ve gönüllülük esası. Selamlar…
Pingback: DnsSec (DNSSEC might kill your internet?) @ Sec "IP" nix
sağol hocam bu bilgiler iyi oldu. İzninle bu yazının ingilizce versiyonunu yayınlamak istiyorum sitemde.
Memnuniyetle.