Eu fui para a pesquisa do Google antes, no entanto, hoje, o Mozilla Firefox não me deixa conectar-se à página de pesquisa do Googles. Isto é o que eu recebo. Você pediu ao Firefox para se conectar de forma segura ao google, mas não podemos confirmar que sua conexão é segura. Normalmente, quando você tenta se conectar de forma segura, os sites apresentarão uma identificação confiável para provar que você está indo no lugar certo. No entanto, essa identidade de sites não pode ser verificada. O que devo fazer Se você geralmente se conectar a este site sem problemas, esse erro pode significar que alguém está tentando representar o site e não deve continuar. Este site usa HTTP Strict Transport Security (HSTS) para especificar que o Firefox apenas se conecte com segurança. Como resultado, não é possível adicionar uma exceção para este certificado. O google usa um certificado de segurança inválido. O certificado não é confiável porque o certificado do emissor é desconhecido. O servidor pode não estar enviando os certificados intermediários apropriados. Pode ser necessário importar um certificado raiz adicional. (Código de erro: secerrorunknownissuer) Eu tentei desinstalar e redefinir o Firefox, mas ainda recebo a mesma mensagem. (Também o Internet Explorer abre a página apenas.) UPDATE: Apenas um usuário dos três no computador não possui esse problema. Tente seguir as etapas nesta página de ajuda do Firefox. Eu acho que isso pode ajudar. Além disso, como um sidenote, o tempo do seu sistema está correto. A seguinte informação é do Mozilla Article linked. Software de Segurança na Internet bloqueando o Firefox Se você pudesse carregar sites até atualizar o Firefox ou até que seu software de segurança na Internet fosse atualizado, reconfigurado ou um novo, seu software de segurança na Internet (incluindo firewalls, programas antivírus, programas anti-spyware e Mais) provavelmente impedirá o Firefox de se conectar à internet. Nota: alguns programas de segurança da Internet podem bloquear o acesso à Internet mesmo quando estão em estado desativado. Em geral, você deve certificar-se de que o seu software de segurança na Internet está atualizado e remova o Firefox da lista de programas confiáveis ou reconhecidos dos seus programas e adicione-o de volta. Para obter instruções sobre como configurar alguns programas, consulte a seção Configure firewalls para que o Firefox possa acessar o artigo da Internet. Configurações de conexão do Firefox Se você se conectar à Internet através de um servidor proxy que esteja tendo problemas de conexão, você não poderá carregar sites. Para verificar as configurações do proxy do Firefox: clique no menu do menu Novo menu Fx e escolha Opções. Selecione o painel Avançado. Selecione a guia Rede. Na seção Conexão, clique em Configurações. Altere as configurações de proxy: se você não se conectar à Internet através de um proxy (ou não sabe se você se conecta através de um proxy), selecione Não Proxy. Se você se conectar à Internet através de um proxy, compare as configurações do Firefox com outros navegadores (como o Internet Explorer veja o guia Microsofts para as configurações de proxy). Feche a janela Configurações de Conexão. Feche a página sobre: preferências. Todas as alterações feitas serão automaticamente salvas. Se você achar que as alterações feitas nas configurações de conexão do Firefox não são lembradas quando você reinicia o Firefox, veja Como corrigir as preferências que não serão gravadas. O Firefox suporta IPv6 por padrão, o que pode causar problemas de conexão em determinados sistemas. Para desativar o IPv6 no Firefox: na barra de localização, digite about: config e pressione Enter. The about: config Isto pode anular a sua página de aviso de garantia pode aparecer. Clique em ter cuidado, prometo continuar com a página about: config. No campo Procurar, digite network. dns. disableIPv6. Na lista de preferências, clique duas vezes em network. dns. disableIPv6 para definir seu valor como verdadeiro. DNS Prefetching O Firefox tenta acelerar o carregamento de novos sites usando o DNS Prefetching, o que pode causar erros de carregamento de páginas com algumas configurações do sistema. Para desativar Prefetching de DNS: Na barra de localização, digite about: config e pressione Enter. The about: config Isto pode anular a sua página de aviso de garantia pode aparecer. Clique em ter cuidado, prometo continuar com a página about: config. Clique com o botão direito na lista de preferências, selecione Novo e, em seguida, selecione Booleano. Na janela Digite o nome da preferência, digite network. dns. disablePrefetch e clique em OK. Selecione true quando solicitado a definir o valor e clique em OK. O Firefox não pode carregar determinados sites Se você achar que o Firefox pode carregar alguns sites, mas não outros, primeiro limpe seus cookies e cache do Firefox: clique no menu do menu Novo menu Fx. Escolha Histórico e selecione Limpar histórico recente. No menu suspenso Limite de tempo: desmarque, selecione Tudo. Clique na seta ao lado de Detalhes para exibir a lista de itens que podem ser desmarcados. Selecione Cookies e Cache. Clique em Limpar agora. Verifique se há malware Se a limpeza de seus cookies e cache não permitiu que você carregue os sites que não funcionaram no Firefox, você deve verificar o seu computador em busca de malware. Certos tipos de malware são conhecidos por segmentar o Firefox e podem impedir que ele carregue vários sites: se você possui um programa antivírus ou de segurança na Internet, atualize seu banco de dados de detecções e faça uma varredura completa do seu sistema. Se você ainda tiver problemas, siga as instruções em Solucionar problemas do Firefox causados por malware. Preparação para DNSSEC: Melhores Práticas, Recomendações e Dicas para Implementação bem sucedida Este white paper fornece uma compreensão geral das Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) e oferece melhor Práticas e conselhos para a implementação do DNSSEC em uma infra-estrutura de rede. O documento é dividido nas seguintes seções: Compreendendo o DNS Compreendendo DNSSEC Preparando sua rede Preparando sua infra-estrutura de DNS Solução de problemas Referências e recursos do DNSSEC Compreendendo o sistema de nomes de domínio O que é o sistema de nomes de domínio O Sistema de Nomes de Domínio (DNS) é distribuído globalmente, Banco de dados hierárquico e dinâmico que fornece um mapeamento para nomes de host, endereços IP (IPv4 e IPv6), registros de texto, informações de troca de e-mail (registros MX), informações do servidor de nomes (registros NS) e informações de chave de segurança definidas em registros de recursos (RRs ). As informações definidas em RRs são agrupadas em zonas e mantidas localmente em um servidor DNS para serem recuperadas globalmente através da arquitetura DNS distribuída. O DNS pode usar o Protocolo de Datagrama de Usuário (UDP) ou o Protocolo de Controle de Transmissão (TCP) historicamente, ele usa uma porta de destino de 53. Quando o protocolo DNS usa UDP como o transporte, ele possui a capacidade de lidar com retransmissão e seqüenciamento UDP. O DNS é composto por um espaço de nome de domínio hierárquico que contém uma estrutura de dados tipo árvore de nomes de domínio vinculados (nós). O espaço para nomes de domínio usa registros de recursos (RRs) que armazenam informações sobre o domínio. A estrutura de dados tipo árvore para o espaço de nome de domínio começa na zona de raiz quot. quot que é o nível mais alto da hierarquia de DNS. Embora normalmente não seja exibido em aplicativos de usuário, a raiz do DNS é representada como um ponto de partida em um nome de domínio totalmente qualificado (FQDN). Por exemplo, o ponto mais à direita no quotcisco. quot representa a zona raiz. Na zona de raiz, a hierarquia de DNS (árvore) é dividida em zonas de subdomínios (ramos). Cada nome de domínio é composto de um ou mais rótulos. As etiquetas são separadas com um caractere quot. quot e podem conter um máximo de 63 caracteres. Um FQDN pode conter um máximo de 255 caracteres, incluindo o caractere quot. quot. As etiquetas são construídas da direita para a esquerda, onde o rótulo na extrema direita é o domínio de nível superior (TLD) para o nome de domínio. O exemplo a seguir mostra como identificar o TLD para um nome de domínio: quot com quot é o TLD para cisco porque é o rótulo mais distante da terminologia de DNS correia direta Para entender o DNS e as recomendações específicas do DNS neste documento, os operadores E os administradores devem estar familiarizados com os seguintes termos: Resolver: um cliente DNS que envia mensagens de DNS para obter informações sobre o espaço de nome de domínio solicitado. Recursão: a ação tomada quando um servidor DNS é solicitado a consultar em nome de um resolvedor de DNS. Servidor autoritativo: um servidor DNS que responde a mensagens de consulta com informações armazenadas em registros de recursos (RR) para um espaço de nome de domínio armazenado no servidor. Resursor recursivo: um servidor DNS que recursivamente consulta as informações solicitadas na consulta DNS. FQDN: um nome de domínio totalmente qualificado é o nome absoluto de um dispositivo no banco de dados DNS distribuído. Registro de recursos: um registro de recurso (RR) é um formato usado em mensagens de DNS que é composto dos seguintes campos: NOME, TIPO, CLASSE, TTL, RDLENGTH e RDATA. Domínio: um nome de domínio e todos os nomes de domínio abaixo, subdomínios que são todos os nomes de domínio que terminam com o nome de domínio. Os domínios são delegados de um servidor de nomes para outro. Zona: um banco de dados que contém informações sobre o espaço de nome de domínio armazenado em um servidor autorizado. Uma zona é igual a um domínio menos todos os domínios delegados. Conjunto de registros de recursos: todos os registros de recursos com o mesmo NOME, TIPO e CLASSE no entanto, o RDATA é diferente. Uma resposta do DNS é sempre um conjunto completo de registros de recursos (ou RRSet em breve). Um exemplo de um RRSet seria vários registros NS para uma respectiva zona ou domínio. Delegação Signer (DS): O DS RR é um tipo de registro DNSSEC que é usado para proteger uma delegação para uma zona. Chave de assinatura de zona (ZSK): isso é usado para assinar todos os RRSets em uma zona. Chave de assinatura de chave (KSK): isso é usado para assinar apenas o DNSKEY RRSet. Registro de recursos DNSKEY: Este DNSSEC RR é usado para armazenar as chaves públicas que são usadas para assinar os registros de uma zona. Este RR pode conter um ZSK ou um KSK. EDNS: Mecanismos de extensão para DNS (EDNS, conforme definido no RFC 2671) é uma especificação IETF escrita para remover restrições de tamanho de mensagem DNS inicialmente impostas (RFC 1035, seção 2.3.4. Limites de tamanho) no protocolo DNS. O EDNS permite que os clientes anunciem seus recursos para servidores de DNS e um desses recursos relacionados ao DNSSEC é a capacidade de um cliente divulgar seu buffer de remontagem para um servidor de DNS, por exemplo, um cliente de DNS pode remontar uma mensagem de DNS enviada por UDP Que é maior (2000 bytes) do que o limite legado de 512 bytes. DNSSEC OK (DO) bit de cabeçalho EDNS: Este é um pouco no cabeçalho EDNS que, quando configurado para um (quot1quot) em mensagens de consulta habilitadas com DNSSEC, indica ao servidor que o resolvedor está solicitando e capaz de aceitar DNSSEC RRs em A mensagem de resposta da consulta. Função primária do DNS DNS traduz nomes de host para endereços IP ou endereços IP para nomes de host. Este processo de tradução é realizado por um resolvedor de DNS (isto pode ser um aplicativo de cliente, como um navegador da Web ou um cliente de email, ou um aplicativo de DNS, como BIND), enviando uma consulta de DNS para um servidor de DNS e solicitando a informação definida em Um RR. Seguem-se alguns exemplos do processo de resolução de DNS: se o servidor DNS estiver configurado apenas como um servidor autorizado e receber uma mensagem de consulta DNS perguntando sobre informações sobre as quais o servidor é autoritário, o servidor DNS verificará as informações RR armazenadas localmente e retornará o valor Do registro na seção de resposta de uma mensagem de resposta DNS. Se a informação solicitada para a mensagem de consulta DNS não existir, o servidor DNS responderá com uma mensagem de resposta de DNS NXDOMAIN (domínio não-existente) ou uma mensagem de resposta de referência DNS. Se o servidor DNS for autoritário, não configurado como um resolvedor recursivo, e ele recebe uma mensagem de consulta DNS perguntando sobre informações sobre as quais o servidor não é autoritário, fará com que o servidor emita uma mensagem de resposta de DNS contendo RRs na Seção Autoridade. O mapeamento de endereço para o FQDN dessa seção pode estar presente na Seção Adicional. Isso informa o resolvedor de DNS onde enviar consultas para obter informações autorizadas para a pergunta na consulta de DNS. Essa condição ocorre devido à delegação da zona DNS. A mensagem de resposta de DNS descrita acima também é conhecida como uma mensagem de resposta de referência de DNS. Se o servidor DNS não é autoritário, mas está configurado como um resolvedor recursivo e recebe uma consulta DNS perguntando sobre informações (assumindo que a solicitação de solicitação é recursiva, ou seja, se a bandeira RD estiver configurada), a solicitação da consulta fará com que o servidor Consulta recursiva (consultas iterativas) a arquitetura DNS para o servidor DNS autorizado das informações incluídas no pedido de DNS. Uma vez que o resolvedor de DNS recursivo obteve essa informação, fornecerá essa informação ao resolvedor de DNS original usando uma mensagem de resposta de DNS e o RR não será autoritário (uma vez que o resolvedor de DNS recursivo não é autoritário para as informações solicitadas). O resolvedor de DNS recursivo também pode ter conhecimento sobre as informações solicitadas armazenadas no cache de DNS. Se a informação solicitada estiver presente no cache de DNS, o resolvedor de DNS recursivo responderá com essa informação de RR. Um resumo dos três exemplos segue: Uma consulta DNS chega ao servidor Se o servidor tiver os dados de DNS como autorizados ou em cache, o servidor responderá com os dados Se o servidor não tiver os dados do DNS, uma das seguintes ações Ocorrerá: se o servidor estiver configurado para permitir a recursão de DNS e a consulta tiver o conjunto de sinalizadores de RD, o próprio servidor consultará outros servidores de DNS, preencherá o cache e, em seguida, responderá como descrito acima. Se o servidor não estiver configurado para permitir a recursão de DNS, ou a consulta não tiver o conjunto de sinalizadores RD, o servidor responderá com uma referência de DNS, ou seja, informações sobre servidores DNS que possam ter uma resposta melhor na seção autorizada. Um servidor DNS pode responder com quotno tais dados existem, se os dados não existem para a consulta DNS em questão. Um servidor DNS pode responder com um código de erro, por exemplo, se o servidor estiver mal configurado. Informações adicionais estão disponíveis nas Melhores Práticas de DNS, Proteções de Rede e Identificação de Ataque. Compreender DNSSEC DNSSEC complementa a natureza hierárquica do DNS com características criptográficas que permitem verificar a autenticidade das informações armazenadas no DNS. Esta validação possibilita que os resolvers tenham certeza de que, quando solicitem uma determinada informação do DNS, eles realmente recebem a informação correta publicada pela fonte autorizada. Essa garantia é possível usando assinaturas criptográficas incluídas no DNS por uma organização de origem. Essas assinaturas são calculadas em um conjunto completo de registros de recursos, e não em registros de recursos individuais. As assinaturas são publicadas em um tipo de registro de recurso específico do DNSSEC chamado RRSIG. Por exemplo, deixando de lado a infra-estrutura necessária, publicando a assinatura para um registro A, a organização de origem permite que os resolvers na Internet verifiquem que o registro A contém dados autênticos e está correto conforme publicado. Um servidor DNS está apenas assinando dados para os quais é autoritário, por exemplo, o servidor DNS não assina registros NS que deleguem subdomínios da sua zona. Um computador cliente com um resolvedor de stub incorporado define o bit DNSSEC OK (DO) para 1 em consultas de saída quando ele deseja usar DNSSEC para verificar a autenticidade das informações de DNS. Quando um servidor DNS habilitado pelo DNSSEC recebe uma consulta com DO1, ele usa registros RRSIG armazenados ou recebidos localmente para verificar criptograficamente a autenticidade das informações de DNS. O resultado da verificação é comunicado ao resolvedor stub usando o bit de Dados Autenticados (AD) na resposta DNS onde AD1 indica que os dados DNS são autênticos e AD0 indica que a verificação DNSSEC falhou. Diferença entre DNS e DNSSEC De uma perspectiva de rede, DNS e DNSSEC são muito semelhantes. O DNSSEC requer um conjunto expandido de recursos de DNS e, embora o DNS possa ter funcionado sem eles, DNSSEC não. Por exemplo, os tamanhos de mensagem DNSSEC serão maiores do que as mensagens DNS sem DNSSEC, e isso é gerenciado com a ajuda do EDNS. Este é simplesmente o resultado de informações adicionais sendo contidas nas respostas de DNS. Sem DNSSEC, os pacotes de DNS normalmente têm menos de 512 bytes de comprimento. Com DNSSEC, muitos pacotes de DNS excederão 512 bytes e podem se aproximar de 4096 bytes. Além disso, EDNS de ponta a ponta deve ser suportado para carregar o DO, AD e outros sinalizadores de cabeçalho específicos do DNSSEC. Devido ao aumento do tamanho do pacote, o DNS com DNSSEC pode usar o TCP com mais frequência que o DNS sem DNSSEC. Desafios potenciais de rede com a implantação DNSSEC Os desafios específicos de rede do DNSSEC são em grande parte o resultado das diferenças mencionadas anteriormente: aumento dos tamanhos de pacotes, requisitos EDNS e o uso mais freqüente do TCP. Muitos dispositivos de firewall incorretamente limitam as respostas de DNS a 512 e proíbem o DNS por TCP. Esses desafios e possíveis remédios são descritos na próxima seção deste documento. Preparando sua rede Esta seção resume alguns dos problemas que podem ser encontrados quando os pacotes DNSSEC são enviados através de dispositivos de rede e como esses problemas podem ser abordados antes do tráfego DNSSEC que atravessa a rede. Essas soluções incluem o seguinte: Conectividade sobre a porta UDP e TCP 53 Fragmentação de IP e segmentação TCP Inspeção de pacotes de DNS grandes Endereço de rede Conversão Conectividade Sobre porta UDP e TCP 53 Como a maioria do tráfego de DNS é enviado através da porta UDP 53, qualquer filtragem de tráfego que existe Na rede é improvável que afete o futuro tráfego DNS nativo que atravessa a porta UDP 53. No entanto, se o tráfego de DNS atualmente não é permitido percorrer a porta TCP 53, que normalmente é usada para grandes pacotes de DNS (ou seja, maiores que 512 bytes ), Qualquer problema com o tráfego de DNS através da porta TCP 53 será exacerbado quando os pacotes DNSSEC começarem a chegar na rede, porque muitos pacotes DNSSEC serão maiores que 512 bytes devido à sobrecarga de pacotes adicionais da DNSSEC. Se o tráfego que usa a porta TCP 53 atualmente não está permitido ou está sendo filtrado para ou de hosts ou redes específicos, pode ser necessário dar conta de novos hosts e redes que poderiam estar enviando tráfego DNSSEC na porta TCP 53. Na seguinte Cisco O exemplo da Lista de Controle de Acesso (ACL) do IOS, 192.168.60.024 é o espaço de endereço IP que é usado por servidores de DNS confiáveis e 192.0.2.024 é o espaço de endereço IP usado pelos hosts internos que enviam consultas de DNS. Figura 1. Exemplo de ACL do software Cisco IOS Fragmentação de IP e Segmentação de TCP A presença de pacotes de IP maiores, como os encontrados ao usar o DNS (principalmente devido a transferências de zona, EDNS e DNSSEC), se traduz em um aumento na probabilidade de um grande O pacote contendo informações de DNS excederá a Unidade de Transmissão Máxima (MTU) em algum ponto em trânsito. Nos casos em que o pacote excede o MTU configurado de uma interface Layer 3, o pacote exigirá fragmentação. No entanto, em certos casos, a configuração do pacote (por exemplo, se o bit Dont Fragment (DF) estiver definido (1)), ou a configuração da rede (por exemplo, as mensagens ICMP que indicam os pacotes precisam ser fragmentadas não são recebidas pelo originário Host) pode não permitir a transmissão de um pacote fragmentado. Por esse motivo, é necessário ter em conta os tamanhos de MTU permitidos através do uso de recursos como Path MTU Discovery (PMTUD) para garantir que grandes pacotes de DNS não sejam descartados ou subsequentemente descartados quando excederem o tamanho de MTU configurado em uma camada 3 interface. Semelhante aos pacotes grandes que são afetados por problemas de fragmentação de IP, grandes pacotes de DNS que usam o protocolo TCP (ou seja, 53tcp) podem encontrar problemas devido à segmentação TCP, o que deve ser considerado para garantir que grandes pacotes baseados em TCP não sejam descartados . Para obter mais informações sobre a segmentação TCP, refira problemas de Fragmentação de IP, MTU, MSS e PMTUD com GRE e IPSEC. Para obter mais informações sobre listas de controle de acesso e fragmentos de IP, consulte as listas de controle de acesso e os fragmentos de IP. Inspeção de grandes pacotes de DNS através de Firewalls ou gateways de camada de aplicativos Os dispositivos que executam Inspeção de Camada de Aplicação (ALI) podem rejeitar pacotes DNS grandes (maiores que 512 bytes). Os produtos de firewall Cisco ASA e PIX que executam versões de código pré-8.3 que são configuradas com a política de inspeção de DNS padrão só permitirão pacotes de DNS de até 512 bytes. Este limite de comprimento de mensagem pode não ser suficientemente grande para clientes internos de organizações ou para servidores que anunciam que desejam receber e validar registros de recursos DNSSEC. Com base em testes internos realizados pelo Cisco Security Research amp Operations (SRO), recomendamos usar um tamanho de comprimento de mensagem de 4096 bytes. Nenhum pacote DNSSEC legítimo deve ser maior do que 4096 bytes. Software Cisco Adaptive Security Appliance (ASA) Versão 8.2.2 Um software Cisco ASA executando a versão 8.2.2 ou posterior pode usar a configuração mostrada na Figura 2 para aliviar os problemas causados por pacotes maiores do que o máximo padrão de 512 bytes. Figura 2. Versão do Cisco ASA Versão 8.2.2 Configuração Tradução de endereços de rede Todas as configurações DNSSEC que utilizam a tradução de endereço de rede (NAT) foram testadas (NAT estático de 1 a 1, PAT, Identity NAT, etc.) e operadas com sucesso (Com exceção de NAT e pacotes que requerem segmentação TCP, que foram testados e tiveram problemas descritos no próximo parágrafo). Os clientes com NAT configurado em um dispositivo Cisco IOS podem experimentar problemas recebendo mensagens de resposta de consulta de DNS grandes quando o TCP é usado como o transporte. O Cisco IOS NAT não possui suporte para reassembling segmentos TCP. A falta de suporte para a montagem do segmento TCP é uma questão bem conhecida que está documentada sob a pergunta "Quot". Qual é a diferença entre a fragmentação IP e a segmentação TCP no seguinte link: ciscoenUStechtk648tk361technologiesqandaitem09186a00800e523b. shtml. Preparando sua infra-estrutura de DNS A infra-estrutura de DNS para a maioria das organizações é vasta e muitas vezes interpretada como complicada devido a uma falta geral de compreensão de DNS. É fundamental compreender a sua infra-estrutura enquanto se prepara para o DNSSEC. As infra-estruturas de DNS são muitas vezes executadas sem qualquer intervenção, e com pouco conhecimento, pela maioria dos usuários da rede. O advento do DNSSEC forçou muitas organizações a aprender, compreender e avaliar sua infra-estrutura de DNS para construir uma infra-estrutura escalável que se adapte ao ambiente particular. Como a maioria das organizações gerencia e mantém seus próprios servidores DNS e equipamentos de infra-estrutura para seus domínios, o DNS em uma escala global é e continuará sendo um banco de dados distribuído. Como administrador ou engenheiro, existem duas opções para organizações que desejam registrar um nome de domínio. Hospede seus próprios servidores DNS Empregue uma empresa de hospedagem para hospedar seus servidores DNS. Essas opções são para um nome de domínio de segundo nível, por exemplo, cisco. Onde é o domínio de nível superior (TLD). Essas duas opções são críticas para entender a perspectiva de preparar uma infra-estrutura de DNS. Este documento assume que uma organização está hospedando seus próprios servidores DNS. A preparação de uma infra-estrutura de DNS para o DNSSEC requer previsão e execução dos seguintes componentes essenciais: Certifique-se de que os Resolvers de DNS são DNSSEC Capaz Verificar se a infra-estrutura de DNS existente pode suportar a maior memória e requisitos de armazenamento, já que o DNSSEC incorpora novos RRs, DNSKEY (a chave pública de DNS usada Para verificar assinaturas), RRSIG (a assinatura de registro de recurso usada para armazenar as assinaturas digitais), DS (o assinante de delegação que armazena um hash do DNSKEY público) e NSEC (o próximo ponteiro de registro de segurança, que também é usado para fornecer provas De inexistência de um RR). A adição destes RRs aumenta o tamanho dos arquivos de zona. O tamanho aumentado requer resolvers de DNS e outros equipamentos para garantir a capacidade de computação para processar e armazenar os arquivos e dados do DNSSEC. Além disso, recomenda-se aproveitar os resolvedores de DNS configurados para validar as respostas assinadas. DNSSEC fornece respostas assinadas que podem ser até sete vezes o tamanho das respostas de DNS tradicionais, que normalmente foram limitadas a um máximo de 512 bytes. Observe que essas respostas de DNS de carga útil maiores e aumentadas são freqüentemente referidas como EDNS (mecanismos de extensão para DNS - RFC 2671). Nota: Todas as versões do BIND 9 by ISC, Inc. e Name Server Daemon (NSD) por NLnet Labs são DNSSEC capazes. Verifique se os dispositivos de infra-estrutura são DNSSEC-Aware e Capaz DNSSEC consciência e capacidade de dispositivos de infra-estrutura exigem que os dispositivos de rede e infra-estrutura não soltem ou filtram pacotes EDNS. Como a maioria dos dispositivos de rede com reconhecimento de DNS limita respostas de DNS e consultas a pacotes UDP que não são maiores do que 512 bytes (com exceção das transferências de zona, que são maiores e alavancam o protocolo TCP), é fundamental garantir que esses dispositivos possam ser Configurado para permitir pacotes de tamanho maior (semelhante às plataformas Cisco ASA e PIX), ou pelo menos, pode ignorar o tamanho do pacote. Nota . Ignorar o tamanho do pacote DNS não é recomendado no entanto, pode ser a única opção para permitir que o tráfego DNSSEC passe. As plataformas Cisco ASA e Cisco PIX manipulam o tráfego DNS tradicional no mecanismo de inspeção de DNS padrão que está habilitado por padrão na política de inspeção padrão chamada classe inspectiondefault. A inspeção Cisco ASA e Cisco PIX DNS: traduz o registro DNS com base na configuração concluída usando o alias. Estática. E comandos nat (DNS Rewrite). A tradução aplica-se apenas ao registro A na resposta do DNS, portanto, a Reescrita de DNS não afeta as pesquisas inversas, que solicitam a gravação PTR. Impede o comprimento máximo da mensagem DNS (o padrão é 512 bytes e o comprimento máximo é 65535 bytes). O ASA da Cisco realiza uma nova montagem, conforme necessário, para verificar se o comprimento do pacote é inferior ao comprimento máximo configurado e descarta qualquer pacote que exceda o comprimento máximo. Impede um comprimento de nome de domínio de 255 bytes e um tamanho de etiqueta de 63 bytes. Verifica a integridade do nome de domínio referido pelo ponteiro se os ponteiros de compressão forem encontrados na mensagem de DNS. Verifica se existe um loop de ponteiro de compressão. Para obter mais detalhes sobre a inspeção de DNS, consulte o Guia de Configuração Cisco ASA 5500 Series. As plataformas ASAPIX são conscientes do DNSSEC na medida em que entendem o que é um pacote EDNS e como interpretar corretamente o comprimento da mensagem de resposta de DNS fornecido no pacote EDNS, especificamente a gravação OPT. Por padrão, as plataformas ASA e Cisco PIX da Cisco usam a configuração predefinida de fábrica, que especifica um máximo padrão de mensagem de DNS de 512 bytes como mostrado na Figura 5. Figura 5. Configuração prévia de Cisco ASA e Cisco PIX Factory Configuração A configuração mostrada na Figura 8 aplicará a inspeção a todos os pacotes DNSSEC de acordo com o comando de configuração automática do máximo do tamanho da mensagem que, como indicado anteriormente, definirá o comprimento do comprimento da mensagem DNSSEC de acordo com o tamanho anunciado no pacote EDNS . Todos os pacotes DNS não-DNSSEC continuarão a respeitar o tamanho do pacote definido pelo comando máximo lt512gt do comprimento da mensagem, dependendo do tamanho especificado. As conexões de largura de banda são adequadas para suportar o DNSSEC. Como os requisitos para suportar os recursos de computação da DNSSEC, uma infra-estrutura de organizações (incluindo roteadores, switches, gateways, soluções VPN e mais) requer a capacidade de largura de banda para suportar o aumento do tráfego de DNS EDNS), juntamente com mais solicitações e respostas maiores. Ambientes que processam o tráfego de DNS de alto volume devem preparar e criar soluções confiáveis de throughput para o equipamento de infra-estrutura. Os preparativos podem variar de soluções padrão Layer 2 e Layer 3, como links de velocidade Gigabit Plus para a consideração de coisas como tempos de convergência para protocolos de roteamento, soluções de failover em tempo hábil para opções de redundância e maiores necessidades de largura de banda. Certifique-se de que a Organização está fazendo uso do DNSSEC-Aware ou Supporting Registrars Compreender os recursos de seu (s) registrador (es) de DNS. Verifique se o seu registrador é capaz de DNSSEC. As capacidades mínimas de suporte DNSSEC de um registrador devem ser que você pode carregar, substituir e remover informações de registro DNSKEY (ou DS) publicadas para as chaves que são usadas para assinar os dados em sua zona. Um Domain Name Registrar é uma organização ou entidade comercial credenciada pela Internet Corporation para Nomes e Números Atribuídos (ICANN) ou por uma autoridade de domínio superior (ccTLD) de código nacional nacional para gerenciar a reserva de nomes de domínio da Internet de acordo com as diretrizes Dos registros de nomes de domínio designados e oferecer esses serviços ao público. Compreender e efetivamente executar a estratégia e o processo de gerenciamento de chave As práticas operacionais em torno do DNSSEC exigem a manutenção da cadeia de confiança (que pode tornar-se bastante longa) em que o DNSSEC se baseia. O simples fato de que DNSSEC faz uso de chaves e assinaturas assimétricas indica a necessidade de processos e estratégias de gerenciamento de assinatura e chave pública e privada. Além disso, é imperativo entender que a responsabilidade pela manutenção da cadeia de confiança recai sobre muitas entidades, incluindo administradores e arquitetos de zonas protegidas, autoridades de assinatura e registradores. Atualizando Servidores DNS Um elemento-chave de uma migração DNSSEC bem-sucedida é o próprio servidor DNS. A maioria dos servidores DNS contém suporte para DNSSEC. O BIND, que continua a ser um dos servidores DNS mais adotados hoje, pode ser implantado para o DNSSEC usando várias versões, a maioria dos quais a versão 9. Na frente do Windows Server, qualquer servidor do Windows 2003 precisa ser atualizado para o Windows 2008 para obter a conformidade completa do DNSSEC . Consulte os itens circulares que não possuem mais microfones durante o tempo antes da implantação do DNSSEC em um ambiente de servidor Windows. Os resolventes recursivos devem ser DNSSEC capazes e configurados para executar a validação DNSSEC (ou seja, reconhecer as várias mensagens DNSSEC, assinaturas e chaves). Exemplos de validação do resolvedor são Bind versão 9 ou posterior e não vinculados a NLNet Labs. Solução de problemas DNSSEC Antes de analisar os problemas comuns de solução de problemas abordados nesta seção, precisamos recuperar os pontos-chave sobre o propósito do DNSSEC. DNSSEC foi projetado para garantir o seguinte: Autenticação de origem de dados DNS Integridade de dados Negação de existência autenticada DNSSEC fornece resolução DNSSEC resolvers a capacidade de validar a autenticidade de um RR recebido em uma consulta DNS. Se um resolvedor de cliente estiver configurado para usar um resolvedor de validação DNSSEC e ele envia uma consulta DNSSEC habilitada (DNSSEC OK (DO) bit de cabeçalho EDNS) para o resolvedor, o resolvedor de validação tentará validar o RR recebido na consulta de DNS. Se o RR for validado com sucesso, o resolvedor de validação retornará um QR ao resolvedor do cliente com o conjunto de sinalizadores quotAuthenticated Data (AD). No entanto, se o resolvedor de validação habilitado para DNSSEC não conseguir validar o RR, ele responderá ao resolvedor do cliente com um quotSERVFAILquot QR. Deve-se notar que quotSERVFAILquot é uma mensagem genérica de erro DNS QR e não indica se o problema subjacente é devido a uma questão DNSSEC. An essential requirement in the previous paragraph is the dependency on the client resolver being configured to use a DNSSEC-validating resolver and send a DNSSEC-enabled query to the validating resolver. If the client resolver is configured to use a non-DNSSEC-validating recursive resolver ( a resolver that does not perform DNSSEC validation), a query for the RR would return a successful NOERROR QR, pending proper configuration on the client and the RR that is configured in a zone on the DNS server. Client resolvers can also send DNSSEC-validating resolvers a non-DNSSEC-enabled query to successfully resolve a RR by not setting the DO bit in the EDNS header in the query. Figure 8 displays the question and answer to a query that was successfully validated by the clients DNSSEC-validating recursive resolver. The authenticity of the good-A. test. dnssec-tools. org RR DNS QR is illustrated with the presence of the Authenticated Data (AD) flag, which indicates successful validation. Additionally, both the RRSIG RR and the RR of TYPE A (what was requested) are both present in the ANSWER section of the DNSSEC QR. Figure 8. Successfully Authenticated DNSSEC Query and Response Some common issues observed with DNSSEC are included in the list that follows. The character indicates that the item will be addressed in this document. Larger DNS message sizes Validation failures KSK rollover and management Time issues Expiration of Signatures Increased usage of TCP DNS software bugs Devices that inspect and or alter DNS messages (for example, firewalls) Increased memory and disk usage Larger DNS Message Sizes As previously mentioned, packet sizes with DNSSEC will be larger than DNS without DNSSEC. The size difference is managed with the help of the EDNS. It is critical to understand RFC 1035 (Section 2.3.4. Size Limits) because this RFC describes the legacy limit for a DNS message size sent over UDP to be 512 bytes, while DNSSEC messages can easily range up to 2000 bytes in size. Many intermediate devices will inspect a DNS message for size. If the message is greater than 512 bytes, the device will drop the message and resolution may fail. Common devices that inspect DNS messages for size include firewalls, load-balancers, SOHO routers, NAT devices, etc. For the DNSSEC validating resolver to effectively process a DNSSEC QR message, you need to ensure that the path between your resolver and resolvers upstream permit DNS messages with the OPT RR present and the EDNS flag set, as well as the ability to process a DNSSEC RR with a possible size of 4096 bytes in length. The first troubleshooting example that we will cover is to determine the size of the DNS query response message that is permitted between the clients recursive resolver and OARCs DNS Reply Size Test Server . Note: The IPv4 or IPv6 address listed prior to DNS reply size limit is at least in the output below is the source address in the Query message when received by the DNS-OARC Reply Size Test Server. If the recursive resolver sits behind a NAT device, or a load-balancer, or some other type of intermediate device such as a firewall this could provide additional awareness whether a problem could be limitation of that device and not the resolver itself. By default dig will use the resolvers in quotetcresolv. confquot and the resolver can be changed using the ltservergt option of dig. The ideal DNS QR message reply size limit should be larger than 4,000 bytes to effectively support DNSSEC however, if the DNS QR message is smaller than 4,000 bytes, it is recommended that you investigate whether the problem is lack of support for EDNS (for example lacks EDNS, defaults to 512), IP fragments being filtered, the message was truncated and sent via TCP and then retrying in TCP mode, etc. Additional information about the DNS-OARC Reply Size Test Server is available at the following link: dns-oarc. netoarcservicesreplysizetest. The outputs from running the dig utility are shown in Figure 9. Figure 9. Sample Output from dig Utility Validation failures may occur for various reasons, including the following: Bad signature, or the signature has expired or is for the future Bad data in the RR Keys reference keys that do not exist (for example, DS key references a DNSKEY that does not exist in the currently served zone data) Lack of a signature for a signed zone In this section, we will troubleshoot some of the common validation failures using the DNSSEC-Tools Project Test Zone and DNS OARC Open DNSSEC Validating Resolver service. Note: When troubleshooting validation failures, setting the Checking Disabled (CD) flag can provide added visibility because it informs the recursive DNSSEC-validating resolver to disable signature validation of an RR for the submitted query. If the DNS QR result status is NOERROR (successful), the output should include the RR type (if present) for the query request along with the RRSIG RRs for the queried RR this typically indicates a validation failure, which can occur due to the varying reasons previously mentioned. Setting the CD flag for a DNS query request can also provide visibility into the size of the DNS QR as well. Figure 10 . Example of Troubleshooting DNSSEC Validation Failures Devices That Inspect and Alter DNS Messages There are software features, protocols, products and devices that range from firewalls, load-balancers, and DNS proxies to devices performing NAT that may inspect or alter the original contents of a DNS query message. With the addition of DNSSEC, devices that historically inspect legacy DNS messages may not properly process DNS messages that contain DNSSEC data, or these devices may alter the DNS message contents, which could cause DNSSEC validation failures. Additionally, many devices may still adhere to the legacy DNS maximum message length of 512 bytes for DNS messages sent over UDP. Sticking to the size limit of 512 bytes could also lead to inconsistencies in validating signed RRs: successful validation or a failed validation. Operators must ensure that the devices over which DNSSEC-enabled messages transit do not tamper with or alter the DNS message contents that could cause validation failures. Devices must also be EDNS-aware, able to properly inspect and process DNSSEC-enabled messages, configured to permit both DNS packets sent on UDP and TCP port 53, and ensure that messages larger than 512 bytes are permitted and not dropped. As an example, the Cisco PIX Firewall products that have now been replaced by the Cisco Adaptive Security Appliance (ASA)would drop any DNS message larger than 512 bytes in length. If your firewall still has this DNS inspection limit enabled, you may see the log message shown in Figure 11 on your Syslog host or the logging buffer of the firewall. It should be noted that these log messages are also applicable to the Firewall Services Module (FWSM) for the Cisco Catalyst 6500 Switch and Cisco 7600 Series router. Figure 11 . Example of Troubleshooting DNSSEC Validation Failures Guidance on device configuration recommendations is available in the Preparing Your Network section of this white paper. Additional Tools for Troubleshooting DNSSEC The DNSSEC Debugger from VeriSign Labs is an online tool to assist with diagnosing problems with DNSSEC-signed names and zones. VeriSign Labs: YAZVS Yet Another Zone Validation Script yazvs. verisignlabs yazvs. pl is one of the utilities that VeriSign uses daily to validate new versions of the root and arpa zones before they are published to the distribution masters. It performs the following steps: Read a candidate zone file from disk Validate KSKs using a locally configured trust anchor Validate ZSKs using KSKs Validate RRSIGs using ZSKs Retrieve the current zone data via AXFR Print a summary of the number of KSKs, ZSKs, DS, and RRSIG records that have changed Optionally produce a Unix diff of the two zones, excluding RRSIGNSECNSEC3 records Sandia National Laboratories: DNSViz dnsviz. net DNSViz is a tool for visualizing the status of a DNS zone. It was designed as a resource for understanding and troubleshooting deployment of the DNS Security Extensions (DNSSEC). It provides a visual analysis of the DNSSEC authentication chain for a domain name and its resolution path in the DNS namespace, and it lists configuration errors detected by the tool. The DNSSEC Checker is a python script that has been created to be used within nagios 3.x, as standalone or can be used integrated in a webpage. The chain validation uses the binaries of unbound-host, which can use a running instance of unbound to enable caching to speed up the process. Other checks make use of the dnspython module to handle DNS packets with EDNS. UCLA University: SecSpider the DNSSEC Monitoring Project secspider. cs. ucla. edu DNSCheck is a program that was designed to help people check, measure, and understand the workings of the DNS. When a domain (zone) is submitted to DNSCheck, it will investigate the domains general health by traversing the DNS from root (.) to the TLD (Top Level Domain, such as. SE) to eventually the nameserver(s) that holds the information about the specified domain (such as iis. se). Other checks, for example measuring host connectivity, validity of IP-addresses, and control of DNSSEC signatures will also be performed. DNSCHECK is a service that verifies the quality of delegations in DNS. The service should not be compared with programs that verify and check the content of a zone. DNSCHECK consists of one program that verifies the delegation, and one larger package that runs this program repeatedly and collects statistics. No regular checks of zones are done, only manual checking. And because of that, some statistics of the zone content (number of delegations, for example) might be wrong. Conclusion There has been a great deal of information shared regarding the deployment of DNSSEC and how it will be effective in preventing certain types of DNS-related attacks, for example, DNS cache poisoning, that are prevalent on the Internet. This white paper may assist networking staff in deploying DNSSEC more seamlessly in their network. The authors hope that the information contained in this document will help network administrators avoid some of the networking issues that may arise when DNSSEC is deployed in the network. Acknowledgments Authors John Stuppi (jstuppicisco ) and Joseph Karpenko (jkarpenkcisco ) are members of the Applied Intelligence team in the Security Research amp Operations organization. Andrae Middleton (amiddletcisco ) of Applied Intelligence and Tim Sammut (tsammutcisco ) of the PSIRT also contributed to this white paper. Additional Resources References
No comments:
Post a Comment