SIDN DNSSEC Checker

SIDN Labs heeft een SIDN Labs Portfolio Checker ter controle van de DNSSEC toepassing op diverse domeinen.

Nu is het zo dat de handleiding voor het opzetten erg beknopt is, vandaar hieronder een detail handleiding.

Installatie is gebaseerd op Ubuntu LTS en VMWare

install ubuntu LTS
– install vmware tools http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022525
* sudo mkdir /mnt/cdrom
* sudo mount /dev/cdrom /mnt/cdrom
* ls /mnt/cdrom
* tar xzvf /mnt/cdrom/VMwareTools-x.x.x-xxxx.tar.gz -C /tmp/
* cd /tmp/vmware-tools-distrib/
* sudo ./vmware-install.pl -d

– sudo apt-get update
– sudo apt-get upgrade
– sudo reboot
– sudo apt-get install openssh-server
– sudo apt-get install golang libunbound-dev
– sudo apt-get install git
– sudo apt-get install gcc
– sudo go get github.com/SIDN/unboundcheck/go
– sudo go build github.com/SIDN/unboundcheck/go
– sudo useradd -d /home/checker -m checker
– sudo cp go /home/checker/go/gocheck
– place script below in /etc/init named gocheck.conf

# Portfolio – start the portfolio checker on port 8080
description “Start Portfolio checker”
author “SIDN Labs team”

start on (local-filesystems and net-device-up IFACE!=lo)
stop on runlevel [016]

respawn
respawn limit 10 5

exec start-stop-daemon –start –chuid checker –chdir /home/checker/go –exec /home/checker/go/gocheck

– to be completely independant of any DNS infrastructure install bind9
– sudo nano -w /etc/bind/named.conf.options
version “not currently available”;
allow-transfer{“none”;};
allow-query {127.0.0.1;};
allow-recursion {127.0.0.1;};

– sudo nano -w /etc/network/interfaces to use 127.0.0.1
– check DNS request on local server: dig sidn.nl +dnssec +multi
– check DNSSEC checker operational: http://<IPorDOMAIN>:8080/check/sidn.nl

SIDN Labs Portfolio Checker

Als je een flink aantal domeinnamen hebt en je wilt deze beveiligen met DNSSEC, dan bestaat altijd het gevaar dat je een paar details over het hoofd ziet en niet alle domeinen correct gesigned zijn. SIDN Labs heeft daarom de DNSSEC Portfolio Checker ontwikkeld, waarmee je dit op een snelle en eenvoudige manier kunt controleren.

FAQ

Hoe ziet de uitvoer eruit?
De uitvoer van deze check is:domeinnaam, DNS error, security status, uitgebreide error indien bogusDe security status kan zijn:

  • secure: de domein naam is correct beveiligd met DNSSEC
  • bogus: de domein naam is niet correct beveiligd met DNSSEC
  • insecure: de domein naam is niet beveiligd met DNSSEC

Er kunnen legio oorzaken zijn als een domein bogus is. De error text van Unbound is bedoeld om hierover opheldering te verschaffen.

De DNS-error is nodata als Unbound de gevraagde informatie (bijvoorbeeld NS records) niet kan vinden in het DNS.

De uitvoer is gesorteerd op de security status, dus alle bogus domeinen komen vooraan te staan.

Of je kunt de volgende URL gebruiken die een RESTful-achtige interface aanbiedt:
http://check.sidnlabs.nl:8080/check/www.domeinnaam.nl
Bijvoorbeeld: check.sidnlabs.nl:8080/check/www.example.nl
LET OP: hier wordt om ‘A’-records gevraagd. De uitvoer is gelijk aan de Portfolio-Checker uitvoer (CSV).Optioneel kan aan de RESTful interface ook een DNS recordtype worden meegeven, zodat er om iets anders gevraagd wordt dan een A record. Die interface werkt als volgt:http://check.sidnlabs.nl:8080/check/domeinnaam.nl/RRtype

Bijvoorbeeld: check.sidnlabs.nl:8080/check/example.nl/TXT

De lijst van DNS types die gebruikt kunnen worden is: SOA, A, NS, MX, TXT, AAAA, SRV, DS en DNSKEY . De uitvoer daarvan is gelijk aan de Portfolio-Checker uitvoer (CSV),

Welke software wordt gebruikt?
Deze Portfolio Checker gebruikt:

De software zelf is open source en is te vinden op github.com/SIDN/unboundcheck. De gebruikte packages zijn github.com/miekg/dns en github.com/miekg/unbound.