[GTER] DNSSEC / EDNS

Adriano Cansian adriano at acmesecurity.org
Mon Jun 20 16:28:44 -03 2022


Oi Lucas,

Apesar do tráfego DNS sempre usar a porta UDP/53, estes são limitados a 512
bytes, enquanto os pacotes DNSSEC podem ser consideravelmente maiores do
que isso, e geralmente o são. Não sei se ajuda, mas segue meu checklist
para o Bind:

. Servidor DNS autoritativo deve permitir conexões  provenientes de
qualquer ip para as portas TCP *E* UDP 53.
. Consultas DNS devem ser liberadas na porta TCP/53, atendendo o RFC 7766.
. O BIND precisa ter sido compilado com as opções:
  - with-openssl=yes
  - enable-ipv6 –with-ecdsa.

Espero que ajude.

-Adriano

On Mon, Jun 20, 2022 at 3:53 PM Lucas Willian Bocchi via gter <
gter at eng.registro.br> wrote:

> Boa tarde
>
> Após a mudança da Copel para a Ligga Telecom, estou percebendo e tendo
> vários problemas com servidores BIND9 com o recurso de DNSSEC / EDNS
> ativado. Estou tendo que deixar o DNSSEC desativado e o EDNS também em
> vários servidores ou eles param de resolver. Alguém mais notou este
> problema? Pelo jeito estão fazendo algum tipo de limite no tamanho dos
> datagramas UDP, pois em um dos locais, por coincidência, tenho uma VPN com
> OpenVPN e tive que mudar a mesma de UDP para TCP pois pacotes que antes
> conseguiam ser enviados com MTU de 1500 bytes através do túnel pararam de
> funcionar. Mudando para TCP normalizou.
>
> Engraçado que não são todos os lugares...
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 

Adriano Mauro Cansian, Prof. Dr.
br.linkedin.com/in/adrianocansian/
ACME! CyberSecurity Research Labs
UNESP - São José do Rio Preto, SP - Brazil
+ 55 (17) 3221-2235 / 3221-2475


More information about the gter mailing list