Eine DNS-Antwort, die größer als 512 Byte ist, kommt durch einen üblichen Consumer-Router nicht durch. Die meisten Antworten sind trotz Signatur kleiner als 512 Byte, jedenfalls, wenn man eine spezifische Frage stellt.
Fragt man beispielsweise ab, an welche Server E-Mails an die Domain nlnetlabs.nl abgeliefert werden können, dann erhält man die Antwort, dass dies bei den Servern omvak.tednet.nl, xs4all.dacht.net und open.nlnetlabs.nl möglich ist. Diese Antwort passt in 174 Byte, siehe Bild 1.
Obwohl die Zone nlnetlabs.nl signiert ist, schickt der DNS-Server keine RRSIG-Records mit, weil er nicht danach gefragt wurde. Anders sieht es aus, wenn man eine ANY-Abfrage durchführt, siehe Bild 2. Das Ergebnis ist 2807 Byte lang. Man erkennt, dass der Client es zunächst über UDP versucht hat. Da die Antwort „abgeschnitten“ war, hat es der Client noch einmal über TCP versucht. Erst der zweite Versuch brachte das richtige Ergebnis.
Ferner sieht man an Bild 2, dass die Abfrage an den öffentlichen DNS-Server ns2.free-germany.com gestellt wurde. Das hat durchaus seinen Grund. Ein typischer Consumer-Level-NAT-Router hätte die Anfrage nicht beantworten können, da er DNS über TCP nicht beherrscht und die Antwort für DNS über UDP zu lang ist.
Im Beispiel von Bild 3 wurde ein Thomson-Speedport-Router mit der Adresse 192.168.0.1 getestet. Man erhält schlicht und einfach keine Antwort, weil der DSL-Router auf TCP-Port 53 gar nicht reagiert. Dieses Verhalten zeigen nahezu alle NAT-Router. Auch viele auf den Unternehmensmarkt zielende NAT-Router beherrschen kein DNS über TCP, etwa die Komponenten von Lancom.
Wer seine Rechner im Heimnetz auf „automatische Netzwerkkonfiguration“ eingestellt hat, kann möglicherweise eine böse Überraschung erleben, wenn einige DNS-Zonen damit beginnen, DNSSEC zu verwenden. Solange die Routerhersteller kein Firmware-Update liefern, muss man sich dieser Problematik bewusst sein und nach Alternativen suchen, insbesondere vor dem Hintergrund, dass die Denic ab dem 2. März Domaininhabern erlaubt, Schlüsselmaterial zu hinterlegen.
Wenn einzelne Domains damit beginnen, ihre Zonen zu signieren, kann es auch bei .de-Domains zu Problemen mit Consumer-NAT-Routern kommen. Dabei hilft auch die „Testbed-Umgebung“ der Denic nicht, da diese auf dieselben Nameserver delegiert wie die Produktivserver der Denic.
Neueste Kommentare
2 Kommentare zu Denic führt DNSSEC ein: neue Technik mit kleinen Tücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
DNSSEC & LANCON
„Für DNSSEC ist DNS über TCP nicht zwingend erforderlich, solange alle Beteiligten
mit UDP-Paketen umgehen können, die größer als 512 Bytes sind… Dafür gibt es
EDNS (RFC 2671) über das dem Empfänger mitgeteilt wird, wie groß Die DNS-
Anfrage wirklich ist und wie viel Puffer er zur Verfügung stellen muß.
DNSSEC-fähige Server und Resolver *müssen* EDNS unterstützen – siehe auch
http://en.wikipedia.org/wiki/DNSSEC .
Daher ist es nicht nötig eine Auflösung über TCP zu unterstützen – und schon gar
nicht als Forwarder, der einfach nur Anfragen an den DNS-Server des Providers
weiterleitet… Nun gibt es da das Problem, daß viele Forwarder in Routern nicht
mit Anfragen umgehen können, die länger als 512 Bytes sind. Ich kann dazu nur
sagen, daß das LANCOM davon nicht betroffen ist – es forwarded Anfragen bis
zur Maximalgöße von 64K.“
Denic und DNSSEC
Vielen Dank für Ihren lesenwerten und gut recherchierten Artikel!
Was Denic in dieser Sache jedoch veranstaltet, ist unterirdisch! So wird auf http://www.denic.de/denic-im-dialog/pressemitteilungen/pressemitteilungen/2464.html im dritten Absatz vom „DNSSEC-Testbed für Deutschland“ gesprochen, und Denic als die deutsche Registry sollte für alle Deutschen und Computer zuständig sein, aber in der Resolver-Konfigurationsseite http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html wird Windows – und damit ca. 90 % der Computerbenutzer – ausgeschlossen!
Einem kompetenten Umternehmen in Frankfurt’s Kaiserstraße sollte bekannt sein, dass Windows seit Vista und Server 2008 natürlich auch DNSEC unterstützen.