[dnssec-users] Zvláštní chování BINDu při rekurzi žolíkových domén

Ondřej Caletka ondrej na caletka.cz
Čtvrtek Duben 5 15:56:03 CEST 2012


Zdravím konferenci,

rád bych poukázal na problém, na který jsem nedávno narazil. Používám
lokálně instalovaný unbound pro validaci DNSSECu. Funguje skvěle v
základním nastavení, kdy se dotazuje přímo kořenových serverů a provádí
celou rekurzi sám. Funguje dobře i když všechny dotazy forwarduje na
jiný unbound. Když však forwarding otočím proti BINDu verze <9.7.1,
9.9.0), začne se to chovat „zvláštně“.

Ono zvláštní chování se dá specifikovat takto:
 - nezabezpečené domény fungují
 - fungují i zabezpečené domény, které nepoužívají žolíky
 - zabezpečené domény, kde došlo k expanzi žolíku, většinou nefungují,
záleží však na stavu cache BINDu. Pokud se na danou doménu zeptal někdo
přímo nadřazeného BINDu (bez CD flagu), ověření se zdaří. V opačném
případě unbound vyhlásí SERVFAIL a do logu napíše:

debug: Validating a positive response
debug: positive response was wildcard expansion and did not prove
original data did not exist
info: validate(positive): sec_status_bogus

Přikládám ukázku nachytaných dat, proti OARCím open validátorům:
Proti unboundu - funkční:
http://shell.sh.cvut.cz/~oskar/dnssec/unbound2unbound-nsecwildcard.pcap
Proti bindu - nefunkční:
http://shell.sh.cvut.cz/~oskar/dnssec/unbound2bind-nsecwildcard.pcap
Proti bindu, poté, co dostal první přímý dotaz:
http://shell.sh.cvut.cz/~oskar/dnssec/unbound2bind-nsecwildcard-working.pcap


Co je ještě horší, zjistil jsem, že v případech, kdy  doména s žolíkem
používá NSEC3, není schopen BIND takový záznam ani validovat! Naštěstí
takových domén (zatím) mnoho není.

Chcete-li testovat, připravil jsem několik testovacích záznamů:
+--------+-----------------------+------------------+
| záznam |         NSEC          |      NSEC3       |
+--------+-----------------------+------------------+
| CNAME  | *.wild.nsec.0skar.cz  | *.wild.0skar.cz  |
| A      | *.wilda.nsec.0skar.cz | *.wilda.0skar.cz |
| TXT    | *.wildt.nsec.0skar.cz | *.wildt.0skar.cz |
+--------+-----------------------+------------------+

Zjistil jsem, že BIND verze 9.9.0 těmito problémy netrpí, bude ale ještě
dlouho trvat, než se dostane do běžného provozu. Do té doby bych
doporučil přejít na unbound.

S pozdravem
Ondřej Caletka


More information about the dnssec-users mailing list