EduDNS
Search
K

FAQ

Perguntas frequentes

Como posso saber em qual PoP está resolvendo?

Para saber em qual cluster está resolvendo, basta realizar testes como:

1) DIG

$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"

2) NSLOOKUP

$ nslookup -q=txt -class=CHAOS version.bind 200.19.16.53
Server: 200.19.16.53
Address: 200.19.16.53#53
version.bind text = "RNP ANYCAST - sc 442cb87c1971"
Nestes exemplos acima, estão apontando para o servidor de SC.

Por que minha consulta está retornando "REFUSED"?

Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com [email protected].

Quais são as boas práticas para o serviço de DNS

Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS
  • Desempenho / controle
    • Separar DNS Autoritativo do DNS Recursivo
    • Ter um recursor DNS realizando cache o mais próximo ao usuário final
      • Se possível, realizar forward para o serviço dns.rnp.br para maior desempenho.
  • Segurança
    • Manter os patchs de segurança atualizados no servidor e serviço
    • No servidor recursivo:
      • habilitar a validação DNSSEC
      • Somente realizar recursão para IPs da organização (ACLs)
    • No servidor autoritativo:
      • Realizar a assinatura das zonas e registros com DNSSEC
      • Realizar a configuração de zonas reversar (in-addr.arpa e ip6.arpa)
      • Não realizar recursão, somente resolução das zonas internas
    • Firewall
      • DNS utiliza UDP e TCP como camadas de transporte, na porta 53.
        • Geralmente UDP para resolução e TCP para transferência de zonas (com tamanho maior que 512 bytes)
        • Porem, a validação do DNSSEC, faz com que geralmente trabalhe em TCP em validações.
    • Sincronismo de Tempo
      • Servidor recursivo que realiza a validação de registros DNSSEC, deve manter o relógio sincronizado com algum mecanismo como NTP.
      • Mas atenção para realizar uma configuração segura do NTP.

DNSSEC: Como saber se meu DNS está realizando as devidas validações?

Uma forma simples é realizar um teste através do site: https://dnssec.vs.uni-due.de/, clicando no botar "start" para iniciar a validação.
Sucesso
Erro
Teste com sucesso
Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".
Sucesso: DNSSEC sendo validado
Caso apareça essa imagem informando erro, confira qual é o servidor que seu equipamento está utilizando para resolver o DNS. Se estiver configurado com um servidor da sua instituição, solicite ao administrador do serviço habilitar a validação do DNSSEC.
Erro - DNSSEC não validado
Caso o servidor corporativo estiver realizando forward para o serviço de DNS recursivo da RNP, poderá ser necessário habilitar a validação DNSSEC no servidor recursivo local.

O serviço está disponível para quais PoPs?

O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:

DF, MA, PA (*), PR, RJ, RS, SC, SP e TO.

* em implantação