Carregado poreduardo09876
325 visualizações

10 dns-firewall

O documento discute como configurar corretamente firewalls e servidores DNS para garantir a qualidade da resolução de nomes. Ele explica como o protocolo DNS original funciona e como a extensão EDNS0 permite payloads maiores. Também discute como permitir tráfego DNS necessário através de firewalls e evitar problemas com fragmentação e PMTU discovery.

Incorporar apresentação

Baixar para ler offline
Firewalls e DNS Como e por que configurar corretamente Hugo Koji Kobayashi <koji at registro.br> Registro.br GTS-9 - 30 de Junho de 2007 1 / 24
Agenda Principais caracter´ ısticas do protocolo DNS original Extension Mechanisms for DNS (EDNS0) Firewalls e DNS 2 / 24
Parte I Principais caracter´ ısticas do protocolo DNS original 3 / 24
DNS - Caracter´ ısticas originais do protocolo Definido nas RFCs 1034 e 1035. Banco de dados distribu´ atrav´s de uma arquitetura hier´rquica, ıdo e a cujo principal prop´sito ´ a resolu¸˜o de nomes de dom´ o e ca ınio. Servidores aceitam consultas em transporte TCP/UDP, porta 53. Payload m´ximo em transporte UDP de 512 bytes. a Payload m´ximo por mensagem DNS em TCP de 64 Kbytes. a 4 / 24
Formato da mensagem DNS ID, flags e contadores Pergunta ao servidor RRs com resposta a pergunta RRs indicando autoridade sobre a pergunta RRs contendo informa¸oes adicionais c~ 5 / 24
Funcionamento b´sico DNS a 6 / 24
Quando TCP ´ utilizado e Transferˆncias de zona (AXFR) e Respostas com payload maior do que 512 bytes: 1. Consulta inicial via UDP. 1 2. Resposta maior do que 512 bytes, flag TC ´ marcado para indicar que e sua resposta est´ truncada. a 3. Cliente refaz consulta via TCP. 1 Servidor autoritativo procura evitar o uso do flag TC removendo RRs da se¸˜o Additional da mensagem ca DNS sempre que poss´ a fim de evitar que cliente precise refazer a consulta via TCP. ıvel 7 / 24
Parte II Extension Mechanisms for DNS (EDNS0) 8 / 24
EDNS0 - Extension Mechanisms for DNS Definido na RFC 2671 Extens˜o ao protocolo DNS original para eliminar alguns limites do a protocolo. Permite: ◮ mais flags e RCODEs ao cabe¸alho DNS c ◮ novos tipos de labels ◮ payloads maiores em transporte UDP (limitado a 64 Kbytes) Define um novo pseudo-RR: OPT 9 / 24
EDNS0 - pseudo-RR OPT NAME ‘‘.’’ TYPE ‘‘OPT’’ CLASS Tamanho do pacote UDP TTL RCODE estendido e Flags RDATA Pares {atributo,valor} Pseudo-RR OPT N˜o armazena dados de DNS como outros RRs a N˜o ´ cacheado ou armazenado em arquivo, sendo utilizado apenas a e no momento da comunica¸˜o entre servidores ca 10 / 24
EDNS0 - Como funciona? Depende de suporte tanto no cliente como no servidor. Cliente envia consulta UDP com pseudo-RR OPT na se¸˜o Additional ca da mensagem DNS, informando qual o tamanho m´ximo de respostas a UDP que pode processar. Se servidor suportar EDNS0, pode aumentar o limite para o tamanho da resposta que vai retornar ao cliente, evitando re-query via TCP. Se servidor n˜o suportar EDNS0, envia resposta com at´ 512 bytes de a e payload DNS. 11 / 24
EDNS0 - Uso Transi¸˜o de IPv4 para IPv6: ca Existˆncia de records A e AAAA simultanemente, fazendo com que e respostas que contˆm glue records fiquem maiores. e Por exemplo, o ”priming request”(consulta aos records NS da raiz) que atualmente tem 436 bytes de payload DNS, passaria a 811 bytes de payload DNS quando houver glue IPv6 para todos os 13 servidores da raiz. DNSSEC: EDNS0 ´ mandat´rio (bit “DNSSEC OK” (DO)). e o Respostas maiores principalmente pelo tamanho de records RRSIG e DNSKEY. 12 / 24
EDNS0 - Suporte em servidores Alguns exemplos de servidores que suportam EDNS0: Bind (desde 8.3.x - 2001) Microsoft DNS server (Windows 2003) NSD (auth only - desde 1.x - 2003) ANS/CNS 13 / 24
Parte III Firewalls e DNS 14 / 24
Por que configurar corretamente? Garantir qualidade na resolu¸˜o DNS, ou seja, evitar atrasos e, ca principalmente, a impossibilidade de resolu¸˜o de nomes ca Evitar overhead desnecess´rio em servidores DNS, tanto recursivos a como autoritativos 15 / 24
Firewalls e DNS Autoritativos: ◮ Consultas com destino ` porta 53 UDP e TCP do servidor autoritativo a e respectivas respostas devem ser permitidas. Recursivos: ◮ Consultas do servidor recursivo com destino ` porta 53 UDP e TCP de a qualquer outro servidor e respectivas respostas devem ser permitidas. ◮ Consultas vindas de clientes autorizados com destino ` porta 53 UDP a e TCP do servidor recursivo e respectivas respostas devem ser permitidas. ◮ Bloqueio `s demais consultas DNS direcionadas ao servidor recursivo. a 16 / 24
Open Recursive Resolvers S˜o servidores recursivos que aceitam consultas DNS vindas de a qualquer computador na Internet. Problemas: ◮ Ataques de envenenamento de cache, que levam o servidor recursivo a armazenar informa¸oes forjadas; c˜ ◮ Ter o servidor utilizado para ataques DDoS. Como resolver: a solu¸˜o recomendada ´ separar os servidores ca e autoritativos e recursivos em computadores distintos e limitar o acesso ao servidor recursivo a clientes de sua rede. Mais detalhes no documento do CERT.br “Recomenda¸oes para c˜ Evitar o Abuso de Servidores DNS Recursivos Abertos”: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ 17 / 24
Firewalls e DNS/UDP > 512 bytes Se seu servidor recursivo suporta EDNS0, verifique se seu firewall permite datagramas UDP/DNS com mais de 512 bytes. Um teste pode ser feito atrav´s da seguinte consulta (935 bytes de payload DNS): e dig @a.dns.br br ns +dnssec +bufsize=1000 Se a resposta n˜o for recebida, pode-se: a corrigir o comportamento do firewall; diminuir o payload m´ximo enviado via record OPT na configura¸˜o a ca EDNS0 do servidor para 512 bytes. 18 / 24
Firewalls e fragmentos UDP Se seu servidor recursivo suporta EDNS0 e o firewall suporta mensagens DNS maiores que 512 bytes, verifique se seu firewall ´ capaz de fazer o e correto reassembly de datagramas UDP fragmentados. Um teste pode ser feito atrav´s da seguinte consulta (2185 bytes de payload DNS): e dig @a.dns.br br dnskey +dnssec +bufsize=2500 Se a resposta n˜o for recebida, pode-se: a corrigir o comportamento do firewall; diminuir o payload m´ximo enviado via record OPT na configura¸˜o a ca EDNS0 do resolver. RFC EDNS0 sugere que se configure baseado em MTU de 1280 bytes. 19 / 24
Firewalls e PMTU-D (1) A medida que DNSSEC for adotado, a quantidade de mensagens DNS maiores do que o MTU da rede tende a aumentar. Boa parte destas mensagens poder˜o ser transportadas via TCP. a Para garantir o funcionamento de PMTU-D em seus servidores, seu firewall e outros dispositivos de roteamento em sua rede n˜o devem a descartar mensagens ICMP do tipo 3, c´digo 4 (”destination o unreachable”, ”fragmentation needed but don’t fragment bit set”). 20 / 24
Firewalls e PMTU-D (2) 1 Cliente faz consulta DNS via UDP e recebe resposta com bit TC=1. Servidor quer enviar resposta com payload de 2185 bytes. 2 Cliente descarta resposta UDP e refaz a consulta usando TCP. 3 Como MTU dos segmentos de rede do Cliente e Servidor ´ de 1500 bytes e o e servidor implementa PMTU-D, este envia primeiro pacote IP com 1500 bytes e bit DF=1 (header IP). 4 Quando pacote IP chega em GWISP, este descarta o pacote IP e retorna mensagem ICMP Can’t fragment (tipo 3, c´digo 4). o 5 Por´m, como GWS filtra ICMP, servidor DNS n˜o o recebe e depois de algum e a tempo tenta o envio novamente do pacote de 1500 bytes e bit DF=1, at´ a sess˜o e a TCP expirar 2 . Resolu¸˜o DNS falha! ca 2 Algumas implementa¸oes de PMTU-D detectam este tipo de situa¸˜o, mas ainda assim com perda de performance. c˜ ca 21 / 24
Referˆncias e RFC 1034 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1035 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1191 Path MTU Discovery RFC 2181 Clarifications to the DNS Specification RFC 2671 Extension Mechanisms for DNS (EDNS0) RFC 2923 TCP Problems with Path MTU Discovery RFC 4472 - Apˆndice B e Operational Considerations and Issues with IPv6 DNS RFC 4821 Packetization Layer Path MTU Discovery 22 / 24
Referˆncias e RFC 4033 DNS Security Introduction and Requirements RFC 4034 Resource Records for the DNS Security Extensions RFC 4035 Protocol Modifications for the DNS Security Extensions Tutorial DNSSEC ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf Recomenda¸oes para Evitar o Abuso de Servidores DNS Recursivos Abertos c˜ http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ Testing Firewalls for IPv6 and EDNS0 Support http://www.icann.org/committees/security/sac016.htm Testing Recursive Name Servers for IPv6 and EDNS0 Support http://www.icann.org/committees/security/sac017.htm Acommodating IPv6 Address RRs for the Root of the DNS http://www.icann.org/committees/security/sac018.pdf 23 / 24
Obrigado! Perguntas? Coment´rios? a 24 / 24

Mais conteúdo relacionado

PDF
Alta Disponibilidade em Linux com Heartbeat e Drbd
porFrederico Madeira
 
PDF
GlusterFs
porFrederico Madeira
 
PDF
Aula dns
porJosais Rocha Lima
 
PDF
Linux - DNS
porFrederico Madeira
 
DOC
Relatório de configuração e instalação do dns no ubuntu 1
porXavier Billa
 
PPTX
Skype
porrogeriohenrique
 
PDF
Tutorial dnssec201205
porLuciano Silva de Souza
 
DOC
Artigo Denis Rebelo
pordenisbelo
 
Alta Disponibilidade em Linux com Heartbeat e Drbd
porFrederico Madeira
 
GlusterFs
porFrederico Madeira
 
Aula dns
porJosais Rocha Lima
 
Linux - DNS
porFrederico Madeira
 
Relatório de configuração e instalação do dns no ubuntu 1
porXavier Billa
 
Skype
porrogeriohenrique
 
Tutorial dnssec201205
porLuciano Silva de Souza
 
Artigo Denis Rebelo
pordenisbelo
 

Mais procurados

PDF
Material de apoio livro kurose cap01
porErikHR
 
PDF
Instalação e configuração servidor dns - ubuntu server
porAparicio Junior
 
DOCX
Para se configurar um servidor de dns no free bsd
porAnderson Batista Batista
 
PDF
Servidor DNS- BIND
porzbrendo
 
PDF
Resolução Parcial - Redes de Computadores - Kurose 6ª Edição
porRonildo Oliveira
 
PPTX
Camada de aplicacao parte2
porUniversidade Federal do Pampa
 
DOCX
M4 tarefa video
porgonxalox
 
PDF
(16) dns
porAnderson Lago
 
PDF
Cap2b
porsamuelthiago
 
PPTX
DNS – domain name system
porMariana Amorim
 
PDF
Instalação do Servidor Ubuntu 12.04 32 bits
porCentro Paula Souza - ETEC Dr. Francisco Nogueira de Lima
 
PDF
Samba, Squid, FTP, DHCP1
porSoftD Abreu
 
PDF
Servico dns
porfernandao777
 
PDF
Lab 06 ping_com_udp
porAlmeida Martins
 
PDF
Redes prática - DNS Bind
porLuiz Arthur
 
PDF
Guia de configuração de um servidor linux para utilização em uma pequena empresa
porSoftD Abreu
 
PDF
Samba, Squid, FTP, DHCP3
porSoftD Abreu
 
PPTX
pfSense - Proxy com arquivo arquivo pac e wpad
porCavalcante Treinamentos
 
PDF
Aula 5 infraestrutura - 28012012
porThiago Inacio de Matos
 
Material de apoio livro kurose cap01
porErikHR
 
Instalação e configuração servidor dns - ubuntu server
porAparicio Junior
 
Para se configurar um servidor de dns no free bsd
porAnderson Batista Batista
 
Servidor DNS- BIND
porzbrendo
 
Resolução Parcial - Redes de Computadores - Kurose 6ª Edição
porRonildo Oliveira
 
Camada de aplicacao parte2
porUniversidade Federal do Pampa
 
M4 tarefa video
porgonxalox
 
(16) dns
porAnderson Lago
 
Cap2b
porsamuelthiago
 
DNS – domain name system
porMariana Amorim
 
Instalação do Servidor Ubuntu 12.04 32 bits
porCentro Paula Souza - ETEC Dr. Francisco Nogueira de Lima
 
Samba, Squid, FTP, DHCP1
porSoftD Abreu
 
Servico dns
porfernandao777
 
Lab 06 ping_com_udp
porAlmeida Martins
 
Redes prática - DNS Bind
porLuiz Arthur
 
Guia de configuração de um servidor linux para utilização em uma pequena empresa
porSoftD Abreu
 
Samba, Squid, FTP, DHCP3
porSoftD Abreu
 
pfSense - Proxy com arquivo arquivo pac e wpad
porCavalcante Treinamentos
 
Aula 5 infraestrutura - 28012012
porThiago Inacio de Matos
 

Destaque

PPTX
Equipamentos activo
porbrunofig94PT
 
PDF
5 - segurança - firewall
porAndre Peres
 
PDF
7 - segurança - dmz vpn
porAndre Peres
 
PPTX
Firewall
porFabricio Figueiredo Leao
 
PPT
FireWall
porrubal_9
 
PPT
Firewall
porAmuthavalli Nachiyar
 
PPT
Firewall
pordanielrcom
 
Equipamentos activo
porbrunofig94PT
 
5 - segurança - firewall
porAndre Peres
 
7 - segurança - dmz vpn
porAndre Peres
 
Firewall
porFabricio Figueiredo Leao
 
FireWall
porrubal_9
 
Firewall
porAmuthavalli Nachiyar
 
Firewall
pordanielrcom
 

Semelhante a 10 dns-firewall

ODP
Redes de computadores II - 5.Serviços em Redes TCP/IP
porMauro Tapajós
 
PDF
ssssssssssssssssssssssssssssssssssssssssssssssss.pdf
porFernandaRodriguesMac4
 
PDF
02 - Redesssssssssssssssssssssssssssssss.pdf
porFernandaRodriguesMac4
 
PPTX
AULA Resumo AV - ARA0370 - PROTOCOLOS DE REDES DE COMPUTADORES.pptx
porssuserc3cd74
 
PDF
Training networking-tcpip
porHélio Silva
 
PDF
Cap04b
porsamuelthiago
 
TXT
Módulo 08 o que é tcp-ip
porMarília Simões
 
PDF
Mini Curso - Redes de Computadores
porFabio Augusto Oliveira
 
PPTX
Serviços e protocolos
porDayane Sousa
 
PDF
Dhcp windows 2003
porfernandao777
 
PPTX
Aula sockets
porUniversidade Federal do Pampa
 
PDF
Adm sop-unidade11
porLeandro Almeida
 
PPTX
Redes de Computadroes Camada de aplicação
porprofjotamarcosduarte
 
PDF
Curso i pv6 básico
porErik Fernando Dominguez Cordova
 
PDF
Livro pfsense 2.0 pt br
porWesley Rodrigo
 
PDF
Livro pfsense 2.0 em português
porDavid de Assis
 
PDF
Livro pfSense 2.0 PT-BR
porJoão Augusto
 
PDF
Livropfsense2 0ptbr-120227112435-phpapp02
porRoberto Castro
 
PDF
Diffserv (serviços diferenciados)
porUFPA
 
PDF
Protocolo tcp ip
porJanderson Froes
 
Redes de computadores II - 5.Serviços em Redes TCP/IP
porMauro Tapajós
 
ssssssssssssssssssssssssssssssssssssssssssssssss.pdf
porFernandaRodriguesMac4
 
02 - Redesssssssssssssssssssssssssssssss.pdf
porFernandaRodriguesMac4
 
AULA Resumo AV - ARA0370 - PROTOCOLOS DE REDES DE COMPUTADORES.pptx
porssuserc3cd74
 
Training networking-tcpip
porHélio Silva
 
Cap04b
porsamuelthiago
 
Módulo 08 o que é tcp-ip
porMarília Simões
 
Mini Curso - Redes de Computadores
porFabio Augusto Oliveira
 
Serviços e protocolos
porDayane Sousa
 
Dhcp windows 2003
porfernandao777
 
Aula sockets
porUniversidade Federal do Pampa
 
Adm sop-unidade11
porLeandro Almeida
 
Redes de Computadroes Camada de aplicação
porprofjotamarcosduarte
 
Curso i pv6 básico
porErik Fernando Dominguez Cordova
 
Livro pfsense 2.0 pt br
porWesley Rodrigo
 
Livro pfsense 2.0 em português
porDavid de Assis
 
Livro pfSense 2.0 PT-BR
porJoão Augusto
 
Livropfsense2 0ptbr-120227112435-phpapp02
porRoberto Castro
 
Diffserv (serviços diferenciados)
porUFPA
 
Protocolo tcp ip
porJanderson Froes
 

10 dns-firewall

  • 1.
    Firewalls e DNS Comoe por que configurar corretamente Hugo Koji Kobayashi <koji at registro.br> Registro.br GTS-9 - 30 de Junho de 2007 1 / 24
  • 2.
    Agenda Principais caracter´ ısticas do protocolo DNS original Extension Mechanisms for DNS (EDNS0) Firewalls e DNS 2 / 24
  • 3.
    Parte I Principais caracter´ ısticas do protocolo DNS original 3 / 24
  • 4.
    DNS - Caracter´ ısticas originais do protocolo Definido nas RFCs 1034 e 1035. Banco de dados distribu´ atrav´s de uma arquitetura hier´rquica, ıdo e a cujo principal prop´sito ´ a resolu¸˜o de nomes de dom´ o e ca ınio. Servidores aceitam consultas em transporte TCP/UDP, porta 53. Payload m´ximo em transporte UDP de 512 bytes. a Payload m´ximo por mensagem DNS em TCP de 64 Kbytes. a 4 / 24
  • 5.
    Formato da mensagemDNS ID, flags e contadores Pergunta ao servidor RRs com resposta a pergunta RRs indicando autoridade sobre a pergunta RRs contendo informa¸oes adicionais c~ 5 / 24
  • 6.
  • 7.
    Quando TCP ´utilizado e Transferˆncias de zona (AXFR) e Respostas com payload maior do que 512 bytes: 1. Consulta inicial via UDP. 1 2. Resposta maior do que 512 bytes, flag TC ´ marcado para indicar que e sua resposta est´ truncada. a 3. Cliente refaz consulta via TCP. 1 Servidor autoritativo procura evitar o uso do flag TC removendo RRs da se¸˜o Additional da mensagem ca DNS sempre que poss´ a fim de evitar que cliente precise refazer a consulta via TCP. ıvel 7 / 24
  • 8.
    Parte II Extension Mechanismsfor DNS (EDNS0) 8 / 24
  • 9.
    EDNS0 - ExtensionMechanisms for DNS Definido na RFC 2671 Extens˜o ao protocolo DNS original para eliminar alguns limites do a protocolo. Permite: ◮ mais flags e RCODEs ao cabe¸alho DNS c ◮ novos tipos de labels ◮ payloads maiores em transporte UDP (limitado a 64 Kbytes) Define um novo pseudo-RR: OPT 9 / 24
  • 10.
    EDNS0 - pseudo-RROPT NAME ‘‘.’’ TYPE ‘‘OPT’’ CLASS Tamanho do pacote UDP TTL RCODE estendido e Flags RDATA Pares {atributo,valor} Pseudo-RR OPT N˜o armazena dados de DNS como outros RRs a N˜o ´ cacheado ou armazenado em arquivo, sendo utilizado apenas a e no momento da comunica¸˜o entre servidores ca 10 / 24
  • 11.
    EDNS0 - Comofunciona? Depende de suporte tanto no cliente como no servidor. Cliente envia consulta UDP com pseudo-RR OPT na se¸˜o Additional ca da mensagem DNS, informando qual o tamanho m´ximo de respostas a UDP que pode processar. Se servidor suportar EDNS0, pode aumentar o limite para o tamanho da resposta que vai retornar ao cliente, evitando re-query via TCP. Se servidor n˜o suportar EDNS0, envia resposta com at´ 512 bytes de a e payload DNS. 11 / 24
  • 12.
    EDNS0 - Uso Transi¸˜o de IPv4 para IPv6: ca Existˆncia de records A e AAAA simultanemente, fazendo com que e respostas que contˆm glue records fiquem maiores. e Por exemplo, o ”priming request”(consulta aos records NS da raiz) que atualmente tem 436 bytes de payload DNS, passaria a 811 bytes de payload DNS quando houver glue IPv6 para todos os 13 servidores da raiz. DNSSEC: EDNS0 ´ mandat´rio (bit “DNSSEC OK” (DO)). e o Respostas maiores principalmente pelo tamanho de records RRSIG e DNSKEY. 12 / 24
  • 13.
    EDNS0 - Suporteem servidores Alguns exemplos de servidores que suportam EDNS0: Bind (desde 8.3.x - 2001) Microsoft DNS server (Windows 2003) NSD (auth only - desde 1.x - 2003) ANS/CNS 13 / 24
  • 14.
  • 15.
    Por que configurarcorretamente? Garantir qualidade na resolu¸˜o DNS, ou seja, evitar atrasos e, ca principalmente, a impossibilidade de resolu¸˜o de nomes ca Evitar overhead desnecess´rio em servidores DNS, tanto recursivos a como autoritativos 15 / 24
  • 16.
    Firewalls e DNS Autoritativos: ◮ Consultas com destino ` porta 53 UDP e TCP do servidor autoritativo a e respectivas respostas devem ser permitidas. Recursivos: ◮ Consultas do servidor recursivo com destino ` porta 53 UDP e TCP de a qualquer outro servidor e respectivas respostas devem ser permitidas. ◮ Consultas vindas de clientes autorizados com destino ` porta 53 UDP a e TCP do servidor recursivo e respectivas respostas devem ser permitidas. ◮ Bloqueio `s demais consultas DNS direcionadas ao servidor recursivo. a 16 / 24
  • 17.
    Open Recursive Resolvers S˜o servidores recursivos que aceitam consultas DNS vindas de a qualquer computador na Internet. Problemas: ◮ Ataques de envenenamento de cache, que levam o servidor recursivo a armazenar informa¸oes forjadas; c˜ ◮ Ter o servidor utilizado para ataques DDoS. Como resolver: a solu¸˜o recomendada ´ separar os servidores ca e autoritativos e recursivos em computadores distintos e limitar o acesso ao servidor recursivo a clientes de sua rede. Mais detalhes no documento do CERT.br “Recomenda¸oes para c˜ Evitar o Abuso de Servidores DNS Recursivos Abertos”: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ 17 / 24
  • 18.
    Firewalls e DNS/UDP> 512 bytes Se seu servidor recursivo suporta EDNS0, verifique se seu firewall permite datagramas UDP/DNS com mais de 512 bytes. Um teste pode ser feito atrav´s da seguinte consulta (935 bytes de payload DNS): e dig @a.dns.br br ns +dnssec +bufsize=1000 Se a resposta n˜o for recebida, pode-se: a corrigir o comportamento do firewall; diminuir o payload m´ximo enviado via record OPT na configura¸˜o a ca EDNS0 do servidor para 512 bytes. 18 / 24
  • 19.
    Firewalls e fragmentosUDP Se seu servidor recursivo suporta EDNS0 e o firewall suporta mensagens DNS maiores que 512 bytes, verifique se seu firewall ´ capaz de fazer o e correto reassembly de datagramas UDP fragmentados. Um teste pode ser feito atrav´s da seguinte consulta (2185 bytes de payload DNS): e dig @a.dns.br br dnskey +dnssec +bufsize=2500 Se a resposta n˜o for recebida, pode-se: a corrigir o comportamento do firewall; diminuir o payload m´ximo enviado via record OPT na configura¸˜o a ca EDNS0 do resolver. RFC EDNS0 sugere que se configure baseado em MTU de 1280 bytes. 19 / 24
  • 20.
    Firewalls e PMTU-D(1) A medida que DNSSEC for adotado, a quantidade de mensagens DNS maiores do que o MTU da rede tende a aumentar. Boa parte destas mensagens poder˜o ser transportadas via TCP. a Para garantir o funcionamento de PMTU-D em seus servidores, seu firewall e outros dispositivos de roteamento em sua rede n˜o devem a descartar mensagens ICMP do tipo 3, c´digo 4 (”destination o unreachable”, ”fragmentation needed but don’t fragment bit set”). 20 / 24
  • 21.
    Firewalls e PMTU-D(2) 1 Cliente faz consulta DNS via UDP e recebe resposta com bit TC=1. Servidor quer enviar resposta com payload de 2185 bytes. 2 Cliente descarta resposta UDP e refaz a consulta usando TCP. 3 Como MTU dos segmentos de rede do Cliente e Servidor ´ de 1500 bytes e o e servidor implementa PMTU-D, este envia primeiro pacote IP com 1500 bytes e bit DF=1 (header IP). 4 Quando pacote IP chega em GWISP, este descarta o pacote IP e retorna mensagem ICMP Can’t fragment (tipo 3, c´digo 4). o 5 Por´m, como GWS filtra ICMP, servidor DNS n˜o o recebe e depois de algum e a tempo tenta o envio novamente do pacote de 1500 bytes e bit DF=1, at´ a sess˜o e a TCP expirar 2 . Resolu¸˜o DNS falha! ca 2 Algumas implementa¸oes de PMTU-D detectam este tipo de situa¸˜o, mas ainda assim com perda de performance. c˜ ca 21 / 24
  • 22.
    Referˆncias e RFC 1034 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1035 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1191 Path MTU Discovery RFC 2181 Clarifications to the DNS Specification RFC 2671 Extension Mechanisms for DNS (EDNS0) RFC 2923 TCP Problems with Path MTU Discovery RFC 4472 - Apˆndice B e Operational Considerations and Issues with IPv6 DNS RFC 4821 Packetization Layer Path MTU Discovery 22 / 24
  • 23.
    Referˆncias e RFC 4033 DNS Security Introduction and Requirements RFC 4034 Resource Records for the DNS Security Extensions RFC 4035 Protocol Modifications for the DNS Security Extensions Tutorial DNSSEC ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf Recomenda¸oes para Evitar o Abuso de Servidores DNS Recursivos Abertos c˜ http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ Testing Firewalls for IPv6 and EDNS0 Support http://www.icann.org/committees/security/sac016.htm Testing Recursive Name Servers for IPv6 and EDNS0 Support http://www.icann.org/committees/security/sac017.htm Acommodating IPv6 Address RRs for the Root of the DNS http://www.icann.org/committees/security/sac018.pdf 23 / 24
  • 24.