Início / unix / Perguntas / 554896
Accepted
Bart Van Loon
Asked: 2019-11-30 20:38:04 +0800 CST

Indo all-in no DNSSEC

  • 772

Eu tenho feito um esforço para obter o DNSSEC completo no meu sistema com a seguinte configuração:

  • dnscrypt-proxyinstalado, funcionando em 127.0.0.1 comrequire_dnssec = true
  • execução resolvida pelo systemd, com DNSSEC=yeseDNS=127.0.0.1
  • apenas nameserver 127.0.0.1em/etc/resolv.conf
  • conectado através do NetworkManager a uma rede WiFi sobre a qual conheço os conjuntos de configuração DHCP 8.8.8.8 e 8.8.8.4 como servidores DNS

/run/systemd/resolve/resolv.conflista 8.8.8.8 e 8.8.8.4 abaixo de 127.0.0.1.

resolvectl statusmostra

DNSSEC setting: yes
DNSSEC supported: yes
Current DNS Server: 127.0.0.1
DNS Servers: 127.0.0.1

na seção Global, mas

 DNSSEC setting: yes
 DNSSEC supported: yes
 Current DNS Server: 8.8.8.8
 DNS Servers: 8.8.8.8
                           8.8.8.4

na seção da minha interface (por quê?).

tcpdumpnão mostra nenhuma atividade no udp:53 ao usar um navegador da Web, dig ou outro uso normal. Isso significa que meu dnscrypt-proxy local está lidando com todas as solicitações de DNS no meu sistema. Também presumo que, devido às definições de configuração mencionadas acima, vou usar o DNSSEC até o fim.

No entanto, de tempos em tempos o diário contém linhas como:

Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN DS: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN A: failed-auxiliary
  • resolvectl query v.dropbox.comresulta no mesmo erro de validação DNSSEC
  • dig v.dropbox.comfunciona muito bem
  • dig v.dropbox.com @8.8.8.8também funciona muito bem (é claro, resultando em duas linhas de saída para tcpdump)

Eu também verifiquei https://dnsleaktest.com , que me diz que muitos servidores 172.253.xx estão recebendo uma solicitação para resolver nomes de domínio que eu digito no meu navegador. Esses IPs parecem ser de propriedade do Google.

Então o que isso quer dizer? Existe alguma consulta (não DNSSEC) acontecendo neste sistema?

Quaisquer insights são apreciados!

dns resolv.conf

1 respostas

  1. Best Answer

    Se ambos dnscrypt-proxye systemd-resolvedestiverem usando 127.0.0.1:53, esse não deve ser o caso. Você precisa desabilitar systemd-resolvedconforme recomendado pelo dnscrypt-proxy wiki e também bloquear /etc/resolv.confpossíveis alterações feitas pelo seu Network Manager. Então, aqui estão os passos:

    • Desabilitar systemd-resolved:
    sudo systemctl stop systemd-resolved
sudo systemctl disable systemd-resolved

    • Verifique se há mais alguma coisa usando o mesmo address:portpar que dnscrypt-proxy: sudo ss -lp 'sport = :domain'. Se houver, desative-os.

    • Se dnscrypt-proxyestiver escutando 127.0.0.1:53e resolv.conftiver nameserver 127.0.0.1, adicione options edns0(necessário para habilitar extensões de segurança DNS) abaixo da nameserverentrada resolv.confpara que fique assim:

    nameserver 127.0.0.1
options edns0
    • Arquivo de bloqueio /etc/resolv.confpara alterações: sudo chattr +i /etc/resolv.conf.
    • Você pode querer reiniciar dnscrypt-proxy.

    No geral, o ponto é garantir que:

    • dnscrypt-proxyestá usando127.0.0.1:53
    • resolv.conftem o mesmo endereço usado pordnscrypt-proxy
    • resolv.confestá protegido contra alterações feitas por outro software, como o Network Manager.

    Além disso, só porque o teste dnsleak mostra os IPs do Google não significa que o serviço de resolução de DNS seja operado pelo Google. Pode ser que os servidores sejam de propriedade do Google, mas operados por outra entidade. Se você não quiser, pode escolher um resolvedor diferente da lista de resolvedores públicos dnscrypt-proxy . Certifique-se de que o dnssecsuporte esteja presente para o resolvedor selecionado. Eu pessoalmente uso os resolvedores dnscrypt.eu, que são habilitados para no-log, no-filter, não-google e dnssec.

    Referências:

    • 2

relate perguntas