[MASOCH-L] DNSSEC no Fedora11
Ricardo Rodrigues
rcr.listas at ig.com.br
Mon Nov 9 06:45:59 BRST 2009
Rodrigo,
DNSSEC é uma extensão do protocolo DNS que permite validação da
autenticidade dos pacotes recebidos. Como a comunicação DNS usa
principalmente pacotes UDP, é muito fácil enviar pacotes falsos através de
UDP Spoofing. Vale lembrar que o protocolo DNS também usa TCP: tanto para
queries/respostas acima de 512 bytes quanto para transferência de zonas.
DNSSEC utiliza mecanismos de chave pública/privada para se prevenir contra
ataques Cache Poisoning via UDP Spoofing. Como o domínio .org tem DNSSEC
habilitado e seu Fedora11 provavelmente não tem a chave pública deste
domínio, o BIND não conseguia prosseguir com a resolução DNS.
Para maiores informações sobre DNSSEC consulte a página do Registro.br:
http://registro.br/info/dnssec.html .
Abraços,
Ricardo
2009/11/8 Rodrigo Trevisaneli <rodrigo.trevisaneli at gmail.com>
> Pessoal,
>
> Instalei aqui o Fedora11, e nao conseguia instalar ou
> atualizar pacotes atraves do yum, obtendo o seguinte erro:
> Cannot retrieve repository metadata (repomd.xml)
>
> Debugando isso, descobri que o problema nao era no yum,
> mas sim no meu BIND local, pois eu nao conseguia resolver
> nenhum host do dominio fedoraproject.org.
>
> No meu /var/log/messages, apareciam erros como esses:
> no valid RRSIG resolving 'fedoraproject.org/DNSKEY/IN': 152.46.7.225#53
> no valid KEY resolving 'www.fedoraproject.org/A/IN': 64.34.184.179#53
> validating @0xb5688d78: 209.in-addr.arpa SOA: no valid signature found
>
> Entao, percebendo que isso estava relacionado a DNSSEC, desativei
> o DNSSEC no meu /etc/named.conf, e comecei a resolver normalmente
> os hosts do fedoraproject.org, e o yum voltou a funcionar.
>
> Mas pergunto, porque tive que desativar o DNSSEC?
>
> Obrigado,
> Rodrigo
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list