delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

29 Nov 2011

unbound之DNSSEC缓存服务器作弊条

DNSSEC 是一种验证域名信息真实性的协议扩展。个人之前一直觉得这事相当的蛋疼:DNS协议本身是不安全的,而DNSSEC无非是增加了数字签名验证,而这验证还依赖于相当复杂的密钥更新和分发机制,这一切都给它的推广带来了困难。

最近闲着没事把几台自己的机器上的 unbound 配置了 DNSSEC 支持。 unbound 是一款 NLnet Labs 开发和维护的 DNS 缓存(解析)服务器实现,它内建了对 DNSSEC 的验证支持。与比较常用的 BIND 相比, unbound 性能更好,并且在设计时充分考虑了安全问题,在安全方面有很好的记录。

在 FreeBSD 上可以使用 port 来安装 unbound:


# cd /usr/ports/dns/unbound
# make install

在 /etc/rc.conf.local 中启用 unbound:


# echo 'unbound_enable="YES"' >> /etc/rc.conf.local

配置 unbound,如果需要对外提供服务,在 /usr/local/etc/unbound/unbound.conf 中的 server 小节添加:


	interface: 0.0.0.0	# 监听所有IPv4地址
	interface: ::0		# 监听所有IPv6地址

(20130423增加) 注意! 如果监听所有 IPv4 和 IPv6 地址的话,就必须限制允许访问的 IP 地址范围。假设一台主要针对内网,同时为 202.96.0/24 服务的服务器,应配置如下 ACL:


        access-control: 0.0.0.0/0 deny # 禁止除下列地址之外的所有IPv4地址
        access-control: 202.96.0/24 allow
        access-control: 10.0.0.0/8 allow # RFC 1918
        access-control: 172.16.0.0/12 allow # RFC 1918
        access-control: 192.168.0.0/16 allow # RFC 1918
        access-control: 127.0.0.0/8 allow # 允许本机查询
        access-control: ::0/0 deny  # 禁止除下列地址之外的所有IPv6地址
        access-control: (自己的IPv6网段) allow
        access-control: ::1 allow # 允许本机查询
        access-control: ::ffff:127.0.0.1 allow # 允许本机查询

当然,对于对内网服务的机器来说,应单独指定内网的 IP 地址而不是监听全部可用 IP 地址,以避免暴露攻击面。此时还应配置 outgoing-interface,具体请参见配置文件中的说明。

然后是获得 trust anchor,这和根证书的意思类似。unbound-anchor 可以创建和更新 trust anchor。用下面的命令来下载和立即检查trust anchor的完整性,这个检查是使用 unbound-anchor 内建的 ICANN 证书进行的,如果不确认的话,还应检查它的完整性,包括 unbound-anchor -l 和检验源代码,不过由于 FreeBSD 的 portsnap 系统采用了数字签名验证,并对每个源码包都做 SHA256 校验,因此一般来说可以认为没有问题。


# sudo -u unbound unbound-anchor
# sudo -u unbound unbound-anchor -a "/usr/local/etc/unbound/root.key" || echo "Wrong key!"

如果一切正常,则系统不会给出任何提示。

配置 unbound 使用 DNSSEC 验证只需在 server 小节增加一行:


	auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"

然后重启 unbound 即可。用 dig com. SOA +dnssec 应该可以看到 DNSSEC 验证成功(flags: ad):


% dig com. SOA +dnssec 

; <<>> DiG 9.8.1-P1 <<>> com. SOA +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4552
;; flags: qr rd ra __ad__; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 1
(...)

此外也可以用浏览器访问 http://dnssectest.sidn.nl/ 来测试。

目前美国联邦政府的许多网站都已经启用了 DNSSEC,但在大家的缓存服务器以及更多的商业站点支持 DNSSEC 之前,这样做并不能显著改善安全性。