[linux-support] DNSSEC SOA und NSEC

Markus Wernig wernigm at lugbe.ch
Fri Aug 1 21:29:44 CEST 2014


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hi all

Spiele mich gerade mit dnssec rum. Auf dem Server scheint soweit alles
zu klappen, aber dann komme ich an zwei Probleme, die ich nicht verstehe:

Zone: wernig.priv.at
(es gibt noch keinen DS entry bei priv.at)

Keys (Key-signing und Zone-signing key erstellt)
Keys in der Zonendefinition included ($include /path/to/key)
Zone signiert (dnssec-signzone -o wernig.priv.at -k $ksk \
/var/named/wernig.priv.at.zone $zsk

/var/named/wernig.priv.at.zone.signed generiert und in named.conf für
wernig.priv.at eingetragen.

Soweit, so gut. Anfragen für A-Records kommen auch brav signiert zurück:

host -a web01.wernig.priv.at
...
;; ANSWER SECTION:
web01.wernig.priv.at.   43200   IN      RRSIG   NSEC 5 4 43200
20140831160225 20140801160225 64278 wernig.priv.at.
Pp5uOgds42XyEmj6nNlrz+RMwlPeKwmatFZaiTPU2HKHxfrUZ7bblvoy
W+AvlV/escFUueSPwbAAKWHEuofktC45JFdS0UUbTEbWOcNHac/h/dyF
aE5S9XbhZT7zacG3dfcfIu+qnHQTRxpSXC0qK8RZlxvSTl75HnRnW9ox FdU=
web01.wernig.priv.at.   43200   IN      NSEC    web02.wernig.priv.at.
A RRSIG NSEC
web01.wernig.priv.at.   43200   IN      RRSIG   A 5 4 43200
20140831160225 20140801160225 64278 wernig.priv.at.
GXrkL05YpVdpdoTiNEHG8KU2kXfeHQlmsYE/eplJH4vi2khTi6s2pXJR
zlqTMqXJpVvjLgYrjb70t6hzpLKO7xpD2xcqivSr4dr1CJQxhuVXa0NA
W6rPIw1+zJCA0XNyvbJv1gVKaqAVD4IXRGGRBONYolmmWcX8NsfnJLeK 4TI=
web01.wernig.priv.at.   43200   IN      A       217.11.218.163

Soweit gut, 64278 ist der ZSK.

1. Problem: Da oben kommt auch ein NSEC record "web02.wernig.priv.at"
mit, und mir leuchtet nicht ein, warum. Im signierten Zonenfile steht
der auch so drin:

web02.wernig.priv.at.   43200   IN A    217.11.218.164
            43200   RRSIG   A 5 4 43200 (
                    20140831181027 20140801181027 64278 wernig.priv.at.
                    DuKCIPCPGewTKVbX8w3DMsVtQ75szc1iXeKB
                    Usv/6zRTt4HfQKrjDIqCs2d+apnnKheLhC1c
                    8mQJTZWG5H4Mx8ThpWd9IYuxnwrBS6L0zGWG
                    P0Np2dM+CFQkgE4/5dyVrDrs/lbt2GjL5+eI
                    nHOPSQcEUntSiwyOjhHGZHm1B1w= )
            43200   NSEC    www.wernig.priv.at. A RRSIG NSEC
            43200   RRSIG   NSEC 5 4 43200 (
                    20140831181027 20140801181027 64278 wernig.priv.at.
                    DOprCZshcUgpGzykl3kHOTo5U7ob/IRrf4HD
                    cVagcq+hY8N68foEeenYHo0fK1f1K9cayVN/
                    sawlFN1aUgLaCMVkNHI/CDsyk8cHwtj06Z50
                    RlvxJyBqsBXzctDVOqLfKKtBKEfuU+ZGNSYs
                    AGwTHAK51DZ/YA8ISKrPBZdcSuk= )

Aber wieso? In dem Zonenfile, das signiert wurde, sieht das ganz
normal aus:

$ORIGIN wernig.priv.at.
@               IN SOA  ns1.wernig.priv.at. info.xfer.ch. (
...
web01           A   217.11.218.163
web02           A   217.11.218.164

Wo kommt der Eintrag her??? Das selbe Phänomen tritt bei allen
A-Records auf, nur ist der zweite dann immer ein anderer Record ...


2. Problem:
host -a -t soa wernig.priv.at

gibt imemr nur den normalen SOA record aus, ohne die entsprechenden
RRSIG und DNSKEY records ...

nur wenn ich explizit die RRSIG auch anfrage, kommen sie mit:
host -a -t soa -t rrsig wernig.priv.at

Das sollte doch auch nicht so sein, oder?


Hat hier vielleicht jemand einen erleuchtenden Schimmer, was hier
passiert?

lg /markus



- -- 
Markus Wernig
Präsident LugBE
GPG: 8E82E4DC
- ---------------------------------------------
Linux User Group Bern - http://lugbe.ch
- ---------------------------------------------

-----BEGIN PGP SIGNATURE-----

iQIVAwUBU9vqqPesxiCOguTcAQh9cw/+Nl0DNi/rUl78iziX/BYb5vX/j+32XL65
Io7rwW2n5kgoxWv/HhTmxhsanS9CQ2LGzK44GbNr91/0OqX53okuGU8Ed17X7AUr
9LzoY1GeIxl2MPHgcBzW13A5VZ7sbwnLVfgswL8+IVhGcmeuwD3LcVhhQf3P4Z5j
bD+LP+3v3K88abluU9ZDE9/3pZlAkE+ddST3b546DEOuZ7svCzvx0RSXGg7cqn9a
55P8Cvbcmdi44kojvmjBezMOK8Rkf36sQd/m30FKPqSEVlmzVFXnExR9ZiUGqYwy
qFYssqhWtc/s0l8y8lnlAXPz69q3ypsX1hQlUOKcHrwfQGSXkc/BbdA8pgN4OE4J
9wQkoD3z3BXzwnFi7thyr6ltc8fH5CzNtX/dXs5ugUp6ZTeDEHgxtSmF75vTTYEA
MGAzd7fCCi471ZoOH8bNViwlI10cuf7B+5GOWTKUaVTVVAdcQXHbN3rlMpbnZnqr
9RalsF83a6UfrrFKfQsTqXYGYlT9+FZkTUQeeWD+S98ZZF/LGoxg9SW1gP0/c49P
7/KJJLsLcdan06vBbaaJvf5do/RDOLO1QOiVKBQ0e4Sgs+NL+vBp/LBPxB6B9+uI
zde9FLo5k++7VfKqfyN5MlSBaoLgeznPIsK/eGJUX3bfU3K7TaHVL7A2mkEWzYTv
kba7MXb0T3Y=
=Wv7F
-----END PGP SIGNATURE-----



More information about the Linux-support mailing list