[GTER] DNSSEC / EDNS

Adriano Cansian adriano at acmesecurity.org
Mon Jun 20 17:07:00 -03 2022 

Olá,

Entendi. Neste caso que você relata, entendo que seja necessário alguma
ajuda da operadora para tentar achar o problema.

Neste caso não sei se consigo ajudar, mas uma sugestão é, se você tiver
acesso, tentar capturar os pacotes DNS e DNSSEC na origem do query, e no
destino do servidor, e compará-los, para ver o que está saindo e o que está
chegando. Me refiro aos  pacotes inteiros mesmo, em camada 2, na interface
de origem e na interface de destino. Isso poderá te dar uma ideia se há
algum problema referente a filtros ou mesmo fragmentação.

Abraços,

-Adriano



On Mon, Jun 20, 2022 at 4:39 PM Lucas Willian Bocchi via gter <
gter at eng.registro.br> wrote:

> Adriano.
> As opções já estão ativas no BIND instalado no pacote da distro (Debian)
> por padrão.
> Não houve mudança nas configurações que justifique estar funcionando até
> sexta e hoje (segunda) ter parado, bem como o OpenVPN.
>
>
> Em seg., 20 de jun. de 2022 às 16:29, Adriano Cansian via gter <
> gter at eng.registro.br> escreveu:
>
> > Oi Lucas,
> >
> > Apesar do tráfego DNS sempre usar a porta UDP/53, estes são limitados a
> 512
> > bytes, enquanto os pacotes DNSSEC podem ser consideravelmente maiores do
> > que isso, e geralmente o são. Não sei se ajuda, mas segue meu checklist
> > para o Bind:
> >
> > . Servidor DNS autoritativo deve permitir conexões  provenientes de
> > qualquer ip para as portas TCP *E* UDP 53.
> > . Consultas DNS devem ser liberadas na porta TCP/53, atendendo o RFC
> 7766.
> > . O BIND precisa ter sido compilado com as opções:
> >   - with-openssl=yes
> >   - enable-ipv6 –with-ecdsa.
> >
> > Espero que ajude.
> >
> > -Adriano
> >
> > On Mon, Jun 20, 2022 at 3:53 PM Lucas Willian Bocchi via gter <
> > gter at eng.registro.br> wrote:
> >
> > > Boa tarde
> > >
> > > Após a mudança da Copel para a Ligga Telecom, estou percebendo e tendo
> > > vários problemas com servidores BIND9 com o recurso de DNSSEC / EDNS
> > > ativado. Estou tendo que deixar o DNSSEC desativado e o EDNS também em
> > > vários servidores ou eles param de resolver. Alguém mais notou este
> > > problema? Pelo jeito estão fazendo algum tipo de limite no tamanho dos
> > > datagramas UDP, pois em um dos locais, por coincidência, tenho uma VPN
> > com
> > > OpenVPN e tive que mudar a mesma de UDP para TCP pois pacotes que antes
> > > conseguiam ser enviados com MTU de 1500 bytes através do túnel pararam
> de
> > > funcionar. Mudando para TCP normalizou.
> > >
> > > Engraçado que não são todos os lugares...
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> >
> > Adriano Mauro Cansian, Prof. Dr.
> > br.linkedin.com/in/adrianocansian/
> > ACME! CyberSecurity Research Labs
> > UNESP - São José do Rio Preto, SP - Brazil
> > + 55 (17) 3221-2235 / 3221-2475
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 

Adriano Mauro Cansian, Prof. Dr.
br.linkedin.com/in/adrianocansian/
ACME! CyberSecurity Research Labs
UNESP - São José do Rio Preto, SP - Brazil
+ 55 (17) 3221-2235 / 3221-2475

More information about the gter mailing list