GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana Menguji dan Memvalidasi DNSSEC menggunakan Dig and Web Tools?

Sudahkah Anda mengaktifkan DNSSEC di Server DNS? Jika tidak, pelajari cara mengaktifkan DNSSEC di Server DNS berbasis Bind. Setelah Anda menginstal dan mengonfigurasi DNSSEC yang memvalidasi server DNS aman, pastikan Anda mengujinya dengan benar. Sebagai administrator, berikut adalah pengujian dasar yang harus Anda lakukan setelah menyiapkan Server DNS yang diaktifkan DNSSEC. Pastikan bahwa domain DNS yang ditandatangani DNSSEC divalidasi dengan benar dengan melaporkan bendera Authenticated Data (AD) dan domain DNS dengan DNSSEC yang rusak tidak divalidasi dengan SERVFAIL. Namun, resolver harus menyelesaikan domain non-DNSSEC seperti biasa. Kita akan melihat cara memvalidasi DNSSEC menggunakan perintah dan layanan web.

Bagaimana cara memvalidasi domain yang ditandatangani DNSSEC menggunakan dig?

dig @<dnsserver> <dnssec-signed-domain> +dnssec +multi

Mari kita uji domain yang ditandatangani DNSSEC sekarang!

$ dig dnssectest.sidn.nl +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssectest.sidn.nl +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44295
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssectest.sidn.nl. IN A
;; ANSWER SECTION:
dnssectest.sidn.nl. 21600 IN CNAME www.sidn.nl.
dnssectest.sidn.nl. 21600 IN RRSIG CNAME 8 3 86400 20131214071501 (
 20131114071501 42033 sidn.nl.
 oN/P1jg9Zcx4+2XK+dZXw4OhlsGJAEK14kcIv4VQsxM0
 CZoyvwGsd23CpfY3k1tPXBDOy/oE+gjO0FDq+5eXXERt
 lTA+5Mu9tjnM5TDW66IFgOgtRN5Hw79BjAHpIR06igjX
 O+hk9ZqKOWCMVjyJvDgRB3PbkRIe6PNmjmgA5Y8= )
www.sidn.nl. 10466 IN A 213.136.31.220
www.sidn.nl. 10466 IN RRSIG A 8 3 86400 20131213071501 (
 20131113071501 42033 sidn.nl.
 QKN3pfWJ5S0i97zRtczt1wSUQhKAO3rFfxxZs/JY/hK4
 p6QXTQO6znVJ2niut644CO2IT5pBYhgNjYlsbUxh1WJs
 Qdyxkf5YgOwlRY/MD6rqMaF45LFHy6JurCXTPL+t593d
 9WZDr5DmXrVIsm0VClo0W/beIkEsHfE6j/Yeq1Y= )
;; Query time: 1610 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:43:14 2013
;; MSG SIZE rcvd: 415

Pada output di atas, lihat Authenticated Data (AD) yang diatur dalam FLAGS. Meminta domain DNS bertanda tangan DNSSEC dengan set Bendera DO (yaitu DNSSEC OK) harus memberikan set bendera Jawaban Terautentikasi (AD) di header.

Memvalidasi domain DNSSEC yang rusak atau salah konfigurasi

$ dig dnssec-or-not.org +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 dnssec-or-not.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23634
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-or-not.org. IN A
;; Query time: 334 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:46:32 2013
;; MSG SIZE rcvd: 46

Mencoba menyelesaikan domain yang memiliki masalah DNSSEC akan mengembalikan SERVFAIL sebagai kode pengembalian di header. Cari SERVFAIL dari output di atas.

Memvalidasi domain yang tidak ditandatangani DNSSEC, harus diselesaikan secara Normal

$ dig espncricinfo.com +dnssec +multi
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> @10.180.8.1 espncricinfo.com +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46851
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;espncricinfo.com. IN A
;; ANSWER SECTION:
espncricinfo.com. 102 IN A 80.168.92.141
;; Query time: 431 msec
;; SERVER: 10.180.8.115#53(10.180.8.115)
;; WHEN: Thu Nov 14 16:51:12 2013
;; MSG SIZE rcvd: 61

Mencoba menyelesaikan domain yang tidak ditandatangani DNSSEC, harus diselesaikan secara normal. Mengapa espncricinfo.com? Nah, saya sedang menonton pertandingan Tes Terakhir dan ke-200 Sachin Tendulkar melawan Hindia Barat. Sungguh sebuah legenda!

Beberapa Layanan Web untuk Pengujian DNSSEC

DNSVIZ

Ini adalah layanan web untuk memvisualisasikan status zona DNS. Ini membantu Anda untuk memahami dan memecahkan masalah penyebaran DNSSEC dengan menyediakan analisis visual dari rantai otentikasi DNSSEC dan jalur penyelesaiannya. Alat ini mampu membuat daftar kesalahan konfigurasi selama proses validasi.

Periksa DNSVIZ.

ZoneCheck

ZoneCheck adalah alat sederhana yang memungkinkan Anda menemukan dan memecahkan kesalahan konfigurasi DNS. Ini memeriksa zona untuk konfigurasi atau inkonsistensi yang salah (karena latensi aplikasi) dan menghasilkan laporan.

Periksa ZoneCheck.

SecSpider Verisign

SecSpider memantau metrik penyebaran DNSSEC, metrik Ketersediaan, metrik Verifiabilitas, metrik Validasi, dll…

Periksa SecSpider.

Dan banyak lagi…

* Verisign Labs mengembangkan “DNSSEC atau tidak?” validator. Lihat di sini.

* SIDN mengembangkan “Apakah Anda DNSSEC yang dilindungi?” – Bayar di sini.

* ICSI Netalyzer, alat pengujian jaringan, yang juga mencakup validasi DNSSEC – Lihat di sini.

* Yang serupa dari  University Duesseldorf, Jerman – Lihat di sini.

BACA:Panduan pemula untuk DNSSEC

BACA:Bagaimana cara menyiapkan DNSSEC di Bind?


Linux

  1. Cara Menginstal dan Menguji Ansible di Linux

  2. Cara Membakar Gambar ISO Ke DVD Dan USB Menggunakan dd

  3. Bagaimana Menganalisis Dan Membandingkan Gambar Kontainer Menggunakan Container-diff

  1. Cara memprogram dengan Bash:Sintaks dan alat

  2. Cara Mengurutkan File di Linux menggunakan Perintah Sortir

  3. Bagaimana saya bisa mengkompilasi, menginstal, dan menjalankan alat di dalam kernel/alat?

  1. Apa itu Server Web, dan Bagaimana Cara Kerja Server Web?

  2. Raspberry Pi Firewall:Cara Menginstal dan Mengelolanya dengan Menggunakan UFW

  3. Bagaimana Menguji Shell Apa yang Saya Gunakan Di Terminal?