[linux-support] DNSSEC SOA und NSEC

Gaudenz Steinlin gaudenz at soziologie.ch
Thu Aug 7 18:43:06 CEST 2014 

Markus Wernig <wernigm at lugbe.ch> writes:

> On 08/01/2014 09:29 PM, Markus Wernig wrote:
>
>> Soweit, so gut. Anfragen für A-Records kommen auch brav signiert zurück:
>> 
>> host -a web01.wernig.priv.at
> ...
>> web01.wernig.priv.at.   43200   IN      NSEC    web02.wernig.priv.at.
> A RRSIG NSEC
>> 
>> Wo kommt der Eintrag her??? Das selbe Phänomen tritt bei allen
>> A-Records auf, nur ist der zweite dann immer ein anderer Record ...
>
> OK, Problem 1 hat sich erledigt, ist gar keines - NSEC RR für einen
> Eintrag zeigen immer auf den nächsten (alphabetisch geordntet) Eintrag
> in der Zone. Damit soll sichergestellt werden, dass niemand gefälschte
> zusätzliche Records einschleusen kann. Im Gegenzug dafür ermöglicht das
> natürlich jedem, über alle Einträge der Zone zu iterieren.

Dieses Problem kannst du übrigens durch die Verwendung von NSEC3 Records
anstelle von NSEC Records umgehen. Dort werden nur noch Hashes der Namen
verwendet. See
http://blog.dest-unreach.be/2010/01/20/dnssec-the-nsec-and-nsec3-record

Gruss Gaudenz

>
> Mir bleibt das Problem 2), dass die Antwort auf die Anfrage nach SOA
> keine RRSIG enthält, obwohl die im Zonenfile vorhanden sind:
>
> wernig.priv.at.      43200   IN SOA  ns1.wernig.priv.at. info.xfer.ch. (
>                                      2014080104 ; serial
>                                      43200      ; refresh (12 hours)
>                                      180        ; retry (3 minutes)
>                                      7257600    ; expire (12 weeks)
>                                      43200      ; minimum (12 hours)
>                                      )
>                      43200   RRSIG   SOA 5 3 43200 (
>                      20140831181027 20140801181027 64278 wernig.priv.at.
>                                    Ir1HKOjVswlH8vvcDtt45kRQrQDfRcbcyz1F
>                                    1PBWxhTnX80SJJ1e29iqG3AiEYMhLnK0WL6M
>                                    KlNllSp5UC4qSU2JYRT3beFMiAIwR6Z/Nlj9
>                                    9o8bPg8KqqLnJvxyOdhrLe/ujUSyhk9sxh0u
>                                    0JiGCd0se5KfNR3Hfx+DIkr6AvM= )
>
>
> lg /markus
>
> -- 
> Markus Wernig
> Präsident LugBE
> GPG: 8E82E4DC
> ---------------------------------------------
> Linux User Group Bern - http://lugbe.ch
> ---------------------------------------------
>
>
> _______________________________________________
> Linux-support mailing list
> Linux-support at lugbe.ch
> http://maillists.lugbe.ch/mailman/listinfo/linux-support

More information about the Linux-support mailing list