Názory k článku DNSSEC s BIND 9.9 snadno a rychle

Díky za pěkný návod, je to hezky shrnuto. Dovolím si tady položit dotaz, který se možná netýká jenom mě. Asi před rokem jsem nad inline-signingem také bádal. Rád bych již také zavedl DNSSEC na naši firemní doménu, ale je to komplikováno takovou nepěknou historickou věcí - split horizon DNS. Je to prostě tak, že kdysi v hluboké minulosti jsme se rozhodli, pro použití stejného doménového jména uvnitř fy i vně směrem do Internetu. Prasárna je, že některé služby mají v interní síti jméno s RFC1918 interní adresou a vně pak totéž jméno s externí adresou (provoz jde například přes web rev proxy apod.) Problémy vznikají samozřejmě ve chvílích, kdy si někdo při přechodu mezi interní sítí a Internetem zaklapne/uspí notebook a přejde na druhou stranu (fyzicky) nebo si zapne VPN. Notebook si chvíli drží v DNS cache nevhodný záznam z druhé strany. Je to samozřejmě špatně a jednak by se služby veřejně přístupné měly pokud možno umisťovat do DMZ a druhak by se vnitřní DNS mělo zřejmě dávat do subdomény, např. int.example.com nebo lan.example.com apod, ale už to tak je a teď s tím asi těžko něco udělám. Záznamů je moc a asi nepřipadá v úvahu nějak rychle tohle změnit (ano to možná nepůjde snadno ani v horizontu let).

No a teď tedy jak na tohle nejlépe nasadit DNSSEC? Vnější a vnitřní DNS leží na fyzicky oddělených name-serverech. Mě se to jeví tak, že bude nejlépe zřídit dalši "hidden" master, kde se budou všechny zóny udržovat a podepisovat a současné name-servery si budou zóny stahovat z tohoto hidden mastera. DNS views se při zone transferu na slave rozliší pomocí TSIG klíče (to mám již vyzkoušeno). Pokud se použije takto pouze jeden klíč ZSK, tak by mohl podepsat shodně zóny pro různé pohledy zone views - tedy podpisy shodných záznamů budou shodné také ve vnitřním i vnějším DNS. Nějaká jiná cesta nebo zádrhele tohoto řešení?

Pokud už nějaké "master" servery máte, tak můžete podepisovat rovnou tam (jen mějte synchronizované klíče), a nekomplikovat si infrastrukturu dalším hidden master serverem.

Jen u "sdílených" záznamů snižte TTL na nějakou nižší hodnotu.

Taky možnost, ale motivace k tomu jednomu masteru je mít všechny data na jednom místě a jednou asi přejdeme na systém, že zóny generujeme z databáze a proč řešit distribuci těch DNS dat, když to samo DNS má vyřešené. Ještě to rozvážím čím začít. Snížit TTL u těch měňavých záznamů - to je správná poznámka - to musím zkontrolovat.

Njn, vono použít tu veřejnou adresy vždy nejde. Protože mě třeba napadá jedna nejmenovaná aplikace, která má doménovou autentizaci (Active Directory) přes tu neveřejnou adresu a přes tu veřejnou adresu se lidi hlásí jménem heslem a tak podobně :-/. Taky to má trochu nižší dostupnost, protože kdyby nedejbože padl cluster firewallu... tak přes vnitřní adresy by mohla nějaká důležitá aplikace jet dál, kdežto pád firewallu ji znepřístupní na veřejné adrese. No ano, asi dost nepravděpodobný scénář doufám ;-).

Podle http://www.root.cz/clanky/moderni-dnssec-elipticke-krivky-a-nevinne-lzi/ jsou tyto P* nebezpečné. Je to i tak nejlepší řešení?

To je otázka spíš pro někoho, kdo se vyzná v šifrách. Nemyslím si ale, že by tyto NIST křivky představovaly nějaké bezprostřední ohrožení v tuto dobu.

Jediná další eliptická křivka, která je standardizována v DNSSECu, je ruská ECC-GOST, o které se toho moc neví a jejíž implementace lze spočítat na prstech jedné ruky po intenzivní práci na cirkulárce.

Začnu rekurzivními servery. Z těch FOSS umí DNSSEC jen dva - BIND a Unbound, oba zhruba stejně dobře, o jiných tak nemá cenu uvažovat. Tedy do chvíle, než CZ.NIC Labs prohlásí Knot DNS Resolver alias kresd za stabilní.

U autoritativních serverů je situace složitější. Obecně se nedá nic zkazit použitím DNS serverů, které jsou používány pro kořenové DNS servery. Tam se z OSS používá BIND, NSD a Knot DNS.

PowerDNS jsem pokud vím nikdy nedoporučoval, už jen z toho důvodu, že jsem to nikdy ani neinstaloval. Ale slyšel jsem, že podpora online podepisování je tam na velmi dobré úrovni a pro menší nasazení, kde nejsou extrémní požadavky na počet odpovědí za sekundu to nejspíš může vyhovovat.

Rozhodně bych se doporučoval vyhnout softwaru Tinydnssec, což je fork djbdns. Jeden velký český hoster ho nasadil a pak zplakal (resp. spíše komunita zplakala) nad nevalidními daty, které to v jistých okrajových případech (neexistující jméno pokryté žolíkem) generuje.

Zkušenosti s použitím databáze nemám. Osobně bych doporučoval se takovému přístupu spíše vyhýbat, právě kvůli vazbě takového řešení na jeden konkrétní software. Pokud je vám jedno, jestli to bude LDAP, nebo SQL, tak nepoužívejte ani jedno a místo toho zvolte jako databázi obyčejné DNS s dynamickými updaty. Opět je možné nabrat inspiraci u doménových registrů, kde je část spravována periodickým generováním zónových souborů (tohle dělá třeba FRED od CZ.NIC), část dynamickými updaty (tak se to používá třeba v RIPE NCC pro reverzní delegace).

Neznám webmin, ale pokud nedělá nějaké divoké věci, můžete použít postup uvedený v článku. Jen pozor, utility kolem BIND nejsou primárně připraveny na sdílení klíčů, proto tohle budete muset zařídit ručně – pro každou doménu zkopírovat soubory s klíči (veřejným i privátním) do nového souboru a v názvech i obsahu souboru nahradit jméno domény (nejlépe to nějak naskriptovat). Tím se zajistí, že všechny domény budou podepsány stejným klíčem a můžete k nim tedy přiřadit stejný keyset.

Zkusil jsem podepsat prvních pár domén a dostavila se menší nepříjemnost.

Na nameserveru (Debian Jessie) jsem dal podepsat doménu a mám aktivní views, tedy všechny zóny jsou uvedené ve dvou views (byť jsou třeba shodné), protože AFAIK to jinak nelze. Mám view internal a public. Většina domén se neliší a měl jsem prostě uveden v obou views shodný soubor.

Bind si po aktivaci zanadává do logu, protože v jednom pohledu zónu podepíše a pak je udiven, že se mu změnil serial když se to snaží udělat v druhém view.

Mar 30 12:17:35 ns named[21496]: malformed transaction: master/zona.cz.signed.jnl last serial 2015091609 != transaction first serial 2015091601
Mar 30 12:17:35 ns named[21496]: zone zona.cz/IN/public (signed): zone_rekey:dns_journal_write_transaction -> unexpected error

Restart serveru to prozatím na chvíli vyřeší, ale to musím holt nějak rozdělit, 2 symlinky možná místo jednoho teď do /etc a napsat různá jména do pohledů :-/. Tak ono je to logické, ale nějak mě to netrklo. :-)

No jediné co mě napadá, by mohly být dynamické updaty DNS. To mám všude vypnuté. Používám zóny staticky, takže mě to nikdy zatím nevadilo.

Prostě jsem měl naincludovaný soubor se shodnými zonami do obou views a nenapadlo mě, že to jsou dvě instance, které se začnou lišit, když do toho začne bind hrabat...

Narazil jsem se $subj. První věc co mě zarazila, že naši bratři Slováci zřejmě ještě nemaj podepsanou národní doménu. Jak se tam domény registrují radši nebudu rozvádět :). Blbé ovšem je, když mě napadlo to zkusit dát do https://dlv.isc.org/, tak mi to na klíč nadávalo, že špatný formát. Pak jsem zabrousil do https://dlv.isc.org/help a tam je vysvětlení k hlášce Unsupported Algorithm

The key type of this DNSKEY is not currently supported by the DLV Registry. Currently supported types include RSASHA1, DSA, RSASHA1-NSEC3-SHA1 and DSA-NSEC3-SHA1.

nemluvě o tom, že se to už stejně chystaj vypnout...
Takže s sk doménami asi smolík zatím.

Díky, skvělý návod.

Řešil někdo jak automaticky přidat CDNSKEY záznam? Bind 9.9.5 to asi neumí. Napadá někoho nějaká finta? Nebo budu muset zkompilovat 9.11 , ta zatím v balících debianu není. Nebo jak jinak rozumně předat registrátorovi klíč?

A pak také netuším proč mi validátory hlásí "Algorithm number 13 is unassigned", je to nepodporované šifrování, nebo to jen nepodporuje validátor?

Co se týče otázky CDNSKEY záznamu, tam by neměl problém vložit ho do zóny ručně. Je to obyčený záznam, není kolem žádná magie. Nová verze BINDu ho jen umí genetovat automaticky.

Které validátory hlásí problém s algorimem 13? DNSviz s tím rozhodně mít problém nebude. Nejspíš půjde o nějaké zastaralé, co se zasekly u RSA.

Můžete mi tedy prosím dát návod jak ten CDNSKEY vytvořit nebo dát příklad? Nebo je to prostě jen záznam pro kořen dané domény? Takže pro doménu mojedomena.cz bude záznam vypadat:

mojedomena.cz IN A IP.AD.RE.SA
mojedomena.cz IN CDNSKEY --a-radek-v-souboru-s-verejnym-klicem-- ?
a ostatní záznamy
www IN IP.AD.RE.SA
již bez CDNSKEY záznamu

A to stačí přidat do nepodepsaného souboru zóny a dál si s tím bind 9.9.5 poradí?

A k těm validátorům, zkoušel jsem jak https://dnscheck.labs.nic.cz/ tak i http://dnscheck.pingdom.com
ale oba hlásí pro algoritmus chybu, nebo to špatně chápu

-Algorithm number 13 is unassigned.
-DNSSEC signature RRSIG(skvelynet­.cz/IN/DNSKEY/9418) fails to validate the RR set: key 1:Algoritm 13 has not yet been implemented

Ano, vložte do zónového souboru obsah soubor s veřejným klíčem a jen zaměňte typ záznamu DNSKEY za CDNSKEY.

Tester DNSCheck je zastaralý a instalace od CZ.NIC má v hlavičcce velký červený text:

ECDSA algoritmy nejsou v tuto chvíli podporovány, chyby vztahující se na alg 13 a 14 jsou způsobeny na straně testovacího serveru.

Tester u pingdom je jen jinak naskinovaný DNSCheck, má tedy zřejmě stejné problémy. Použijte raději Zonemaster, což je následník DNSChecku: https://zonemaster.ripe.net https://zonemaster.iis.se https://www.zonemaster.fr

Tester - zonemaster - díky.

Co se týká CDNSKEY tak mám další problém, bind 9.9.5 (debian jessie) nezná typ záznamu CDNSKEY

Zkouším to obejít přes zápis
mojedomena.cz IN TYPE60 zápis a pak hodnoty 257 3 13 VEREJNYKLIC..
jenže nedaří se mi to zapsat ve tvaru pochopitelném bindem..
Dívám se i na rfc3597 a zkouším příjít na správný zápis, ale zatím nic ani nefunguje
mojedomena.cz CLASS1 TYPE60 ...

Budu ještě pátrat jak to vnutit té mé verzi binda a nebo zkompiluji novější.