DNS oppslagsverktøy

Det finnes en mengde forskjellige programmer og hjelpemidler for å slå opp DNS- og DNSSEC-data for et domene.

Gode oppslagsverktøy er helt nødvendig for å kunne slå opp detaljerte data for domener i DNS, samt for å kunne utføre feilsøk dersom noe har sluttet å virke. Her beskrives de som antas å være mest nyttige for bruk i forbindelse med drift og feilsøk ifm. DNS- eller DNSSEC-problemer. Dersom et verktøy har en spesiell begrensning, er dette anmerket. Alle verktøy er gratis og åpent tilgjengelige.


INNHOLD:

  1. Kommandolinjebaserte verktøy
    1. dig
    2. drill
    3. whois
  2. Web-baserte tjenester
    1. DNS-test (fra Norid)
    2. DNSCheck (fra .SE)
    3. Whois-web-proxy (fra Norid)
    4. DNSViz
    5. DNSSEC-debugger
    6. Web-basert-dig
    7. DNSSEC/TLSA Validator
  3. Eksempler på bruk av verktøy
    1. Hvordan sjekke om en sone er sikret med DNSSEC
      1. dig
      2. drill
      3. DNSviz
      4. DNSSEC-debugger
    2. Eksempler på domener med mangler eller feil
  4. Hvordan sjekke om soner med wildcard-records validerer korrekt
  5. Får du ikke validert et domene som skal være sikret?
  6. Statistikk over DNSSEC-validerende navnetjenere

Kommandolinjebaserte verktøy

Disse er verktøy som kan installeres lokalt der vi behøver dem, slik at de kan benyttes både for interne og eksterne nett.

  1. dig

  2. drill

    • Funksjonalitet: Slå opp DNS- og spesielt DNSSEC-data for domener og soner

      «drill is a tool to designed to get all sorts of information out of the DNS. It is specificly designed to be used with DNSSEC. (The name drill is a pun on dig. With drill you should be able get even more information than with dig.)»

    • Leverandør: NLnet Labs

    • Dokumentasjon:

    • Installasjon:

      • *nix-versjon: Installer pakken ‘ldnsutils’ fra distribusjonens apt-arkiv, eller last ned ldns-pakken

      • Mac/IOS-versjon: Som for *nix.

      • Windows-versjon: Ikke funnet

      • Web-versjon: Ikke funnet

  3. whois

    • Funksjonalitet: Slå opp whois-informasjon (mot Norids whois-tjeneste)

      Kombiner bruk av dig og drill med data fra whois, da whois også kan brukes for å slå opp DNSSEC-informasjonen som er registrert på et domene i Norids database.

    • Leverandør: Mange forskjellige.

    • Dokumentasjon:

      • Kjør ‘whois –help‘, og ‘man whois

      • Se whois.

    • Installasjon:

      • *nix-versjon: Installer pakken ‘whois’ fra distribusjonens apt-arkiv

      • Mac/IOS-versjon: Som for *nix.

      • Windows-versjon: Lastes ned her.


Web-baserte tjenester

Rene web-baserte tjenester er kjekke da de kan være enkle i bruk og gi en bra statuspresentasjonen. Ulempen med disse er at de ligger på weben, og dermed bare kan aksessere og analysere de åpne delene av nettene/DNS, dvs. de er ikke egnet på laboppsett uten videre.

Bruken av dem skal være relativt selvforklarende, men man må bare øve seg på noen oppslag slik at man blir fortrolig med dem.

  1. DNS-test fra Norid

    • Funksjonalitet: Kan brukes for å sjekke om et domenet er satt opp korrekt i DNS, inkludert DNSSEC.

      • Tjenesten kan benyttes for alle som vil sjekke DNS-oppsettet for sine soner.

      • Registrarer kan/bør teste navnetjeneroppsett før innsending av endringer over EPP-snittet mot registreringssystemet for no.
        Dersom sjekken gir en feil vil sannsynligvis også EPP-operasjonen feile, derfor er dette en grei sjekk å gjøre i forkant av EPP-endringer som berører navnetjeneroppsett.

      • Tjenesten benytter dnscheck-biblioteket fra den svenske (NIC-SE) DNS-sjekkeren, men bruker foreløpig en noe eldre versjon av biblioteket (1.3.0).

      • Dokumentasjonen er noe mangelfull. Men, siden den svenske sjekkeren stort sett gjør de samme sjekkene, samt at den også har en FAQ-side med nyttig informasjon om hva som foregår, så kan man gå til den svenske (se under) for dokumentasjon.

    • Leverandør: Norid

  2. DNSCheck fra .SE

    • Funksjonalitet: Konseptuelt samme som Norids sjekker, men en annen presentasjonsmåte, og bruker en nyere versjon av dnscheck-biblioteket (1.6.3).
      Se FAQ-siden for mer informasjon.

    • Leverandør: .SE

  3. Whois-web-proxy fra Norid

    • Funksjonalitet: Dette er en webtjeneste som kan brukes for å slå opp mot Norids kommandolinjebaserte whois-tjeneste, og som presenterer svaret bedre.
      Se veiledningen for mer informasjon.

    • Leverandør: Norid

  4. DNSViz

    • Funksjonalitet:

      • Slå opp, analysere og vise DNS- og DNSSEC-informasjon på en brukervennlig måte.

      • For DNSSEC, vise og verifisere DNSSEC ‘chain of trust’ på en brukervennlig måte via en grafisk tegning.

    • Leverandør: Sandia National Labs

  5. DNSSEC-debugger

    • Verktøyet er laget kun for å sjekke DNSSEC-status.

    • Funksjonalitet:

      • Slå opp, analysere og vise DNSSEC-status på en brukervennlig måte.

      • Vise og verifisere DNSSEC chain of trust.

      • Klikk på ‘more(+)‘- og ‘less(-)‘-linkene for å zoome inn ut og inn i detaljnivåer.

    • Leverandør: Verisign Labs

  6. Web-basert-dig

    • Funksjonalitet er akkurat som kommandolinjebasert dig, men denne gjør dig tilgjengelig for alle, også de som ikke kan installere dig selv.
      (Tips: Argumenter til dig legges også inn i input-feltet, f.eks. parameteren ‘+dnssec‘.

    • Leverandør: Ring of Saturn Internetworking

  7. DNSSEC/TLSA Validator

    • Funksjonalitet: Et tillegg (plugin/addon) til de mest vanlige nettlesere. Den legger til to nye statusikoner i adresselinja i nettleseren. Det ene viser DNSSEC-status, og det andre viser TLSA-/DANE-status.

      • DNSSEC-ikonet er et ikon med en nøkkel i. Ikonet er helgrønt dersom domenet er sikret med DNSSEC og alt validerer korrekt. Ikonet er helrødt dersom domenet skulle vært sikret med DNSSEC, men sikringen fungerer ikke, dvs. domenet ikke kan valideres med DNSSEC. Ikonet er grått dersom domenet ikke er sikret med DNSSEC.

      • TLSA-ikonet er et ikon med en hengelås eller andre symboler i seg. Websiden må være tilgjengelig over https for at hengelåsen skal vises. Domenet må videre være sikret med DNSSEC før TLSA-sjekken skal kunne utføres. Ikonet er da helgrønt dersom web-/SSL-sertifikatet kan verifiseres med DANE-protokollen. Ikonet er helrødt dersom validering med DANE feiler. Ikonet er grått dersom sjekken ikke kan utføres.

      • Se ellers hovedsiden og dokumentasjonssiden for detaljer.

    • Se nettsidene til https://www.kirei.se eller https://www.nic.cz/ for eksempler på websider som validerer både med DNSSEC og med DANE.

    • Leverandør: CZ Domain Registry


Eksempler på bruk av verktøy

Her vises eksempler på praktisk bruk av noen av verktøyene.

  1. Hvordan sjekke om en sone er sikret med DNSSEC

    Hvordan sjekker man om en sone eller et domene er sikret med DNSSEC, dvs. verifisere ‘chain of trust’? Dette varierer fra verktøy til verktøy.

    Eksemplene under viser norid.no som testsone, siden den nå er sikret. Først bruker man dig til å lage en trusted-key fil, deretter kjøres selve oppslaget.

    1. dig

      dig produserer mye output, og kun noe av denne er vist under:

          % dig +dnssec +multiline SOA norid.no +sigchase
          % No trusted keys present
      
          Her må trusted key for root lagres til lokal fil først:
          % dig DNSKEY .|grep 257 > ./trusted-key.key
      
          % dig +dnssec +multiline SOA norid.no +sigchase
      
          ;; RRset to chase:
          norid.no.               3428 IN SOA ns.uninett.no. hostmaster.uninett.no. (
                                          2014112501 ; serial
                                          14400      ; refresh (4 hours)
                                          3600       ; retry (1 hour)
                                          1814400    ; expire (3 weeks)
                                          900        ; minimum (15 minutes)
                                          )
      
      
          ;; RRSIG of the RRset to chase:
          norid.no.               3428 IN RRSIG SOA 8 2 3600 20141216043352 (
                                          20141125070437 31923 norid.no.
                                          YPfPCb26i1hu0vuiR6vTdKjRtgHGch+HH1A6UgXmeKtf
                                          tyd+K1jmtGDk8R/uAKPozpK6nnKFIiE7QQIqN4ED4YQW
                                          HsXQ5PZVpErZwX2ka9FMIUT2UnNAynGWgidjDJjXh2kO
                                          56xX9uhNqlCLE8Dryo+2GX1wGN96bXMc8Dm6IzA= )
      
          Launch a query to find a RRset of type DNSKEY for zone: norid.no.
          :
          :
             ..masse oppslag og data er fjernet her..
          :
          :
          ;; Ok this DNSKEY is a Trusted Key, DNSSEC validation is ok: SUCCESS
      
      

      Sonen er sikret dersom den siste linja viser ‘…ok: SUCCESS’. En feilmelding gis dersom den ikke er sikret, eller sikringen ikke er fullgod.

    2. drill

      Her må man også ha laget en trusted-key fil først, se dig over for hvordan det kan gjøres.

       
          % drill -S SOA norid.no -k ./trusted-key.key 
      
          ;; Number of trusted keys: 1
          ;; Chasing: norid.no. SOA
      
          DNSSEC Trust tree:
          norid.no. (SOA)
          |---norid.no. (DNSKEY keytag: 31923 alg: 8 flags: 256)
              |---norid.no. (DNSKEY keytag: 62984 alg: 8 flags: 257)
              |---norid.no. (DS keytag: 62984 digest type: 2)
                  |---no. (DNSKEY keytag: 60990 alg: 8 flags: 256)
                      |---no. (DNSKEY keytag: 29471 alg: 8 flags: 257)
                      |---no. (DS keytag: 29471 digest type: 2)
                          |---. (DNSKEY keytag: 22603 alg: 8 flags: 256)
                              |---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
          ;; Chase successful
      

      Sonen er sikret dersom den siste linja viser ‘Chase successful’. En feilmelding gis dersom den ikke er sikret, eller sikringen ikke er fullgod.

    3. DNSviz

      Kjør sjekken i verktøyet, det grafiske svaret kan inspiseres på skjerm. Man kan også laste ned en png-fil med resultatet.

      Direktelink til kjøring: http://dnsviz.net/d/norid.no/dnssec/

      Når DNSSEC-statusen er OK, vises resultatet gjennomgående med grønn farge. Dersom noe er galt, vil andre farger og linjetyper benyttes, se Full legend for beskrivelse av hvordan feilsituasjoner markeres.

    4. DNSSEC-debugger

      Kjør sjekken i verktøyet, det grafiske svaret kan inspiseres på skjerm.

      Link til direkte kjøring: http://dnssec-debugger.verisignlabs.com/norid.no

      Linkene ‘more(+)’ og ‘less(-)’ kan benyttes for å zoome inn og ut i detaljer, noe som er nyttig ved evt. feil.

      Når DNSSEC-statusen er OK, er svaret/ikonene i grønne farger. Dersom noe er galt, vil ikonene være gule eller røde, og man kan holde musa over ikonene for å få en forklaring på problemet.

  2. Eksempler på domener med mangler eller feil

    Det finnes noen testdomener som er fast konfigurert i DNS, og som har faste og kjente mangler eller feil. Disse er nyttige fordi man kan trene på bruk av verktøyene for forskjellige feiltilfeller.

    Noen slike domener er:


Hvordan sjekke om soner med wildcard-records validerer korrekt

Bind er en mye brukt navnetjenerprogramvare. Noen eldre Bind-versjoner, versjon 9.7.4 og 9.8.1, har en alvorlig feil som gjør at de ikke klarer å validere wildcard-records signert med NSEC3. Feilen er fikset i versjonene 9.7.5, 9.8.2 og 9.9.x.

Det er dessverre noen norske ISPer som fremdeles bruker disse gamle versjonene og som har skrudd på DNSSEC-validering, og hvor validering dermed vil feile.

For å teste om man benytter en resolver som har denne wildcard-feilen, kan man besøke følgende webside:
  http://0skar.cz/dns/en.

Dersom testen rapporterer at det er en feil på resolveren du bruker, kan du bytte til å bruke andre resolverende navnetjenere, se neste tips for hvordan det kan gjøres.


Får du ikke validert et domene som skal være sikret?

Dersom du opplever at du ikke får validert et domene som du vet skal være sikret, eller det motsatte, tilgang til en webside som du vet har en feil i sin DNSSEC-konfigurasjon, så kan det skyldes at navnetjenerne du benytter ikke har aktivert DNSSEC-validering. Du kan da be leverandøren din om å aktivere valideringen. Alternativt kan du bytte til en annen leverandør som tilbyr korrekt validerende navnetjenere, som for eksempel Google sin gratistjeneste Google Public DNS.


Statistikk over DNSSEC-validerende navnetjenere

For at DNSSEC skal fungere, må de resolverende navnetjenerne i DNS være konfigurert til å validere DNSSEC. Det finnes mange navnetjenere i verden hvor dette enda ikke er skrudd på, og det er viktig at dette blir gjort. Dette er noe som må gjøres av de som driver navnetjenesten.

Dette finnes en interessant webside hos APNIC som viser kart og diverse statistikk over utviklingen i utbredelsen av DNSSEC-validerende navnetjenere i verden, inkludert status for Norge.

Hovedsiden finnes her. Mindre regioner eller enkeltland kan velges via lenker lenger nede på siden.

Sist endret 28. juni 2016