FAQ

Como posso saber em qual PoP está resolvendo?

Para saber em qual cluster está resolvendo, basta realizar testes como:

1) DIG

$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"

2) NSLOOKUP

$ nslookup  -q=txt -class=CHAOS version.bind 200.19.16.53
Server:		200.19.16.53
Address:	200.19.16.53#53

version.bind	text = "RNP ANYCAST - sc 442cb87c1971"

Nestes exemplos acima, estão apontando para o servidor de SC.

Por que minha consulta está retornando "REFUSED"?

Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com [email protected].

Quais são as boas práticas para o serviço de DNS

Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS

• Desempenho / controle

  • Separar DNS Autoritativo do DNS Recursivo

  • Ter um recursor DNS realizando cache o mais próximo ao usuário final

    • Se possível, realizar forward para o serviço dns.rnp.br para maior desempenho.

• Segurança

  • Manter os patchs de segurança atualizados no servidor e serviço

  • No servidor recursivo:

    • habilitar a validação DNSSEC

    • Somente realizar recursão para IPs da organização (ACLs)

  • No servidor autoritativo:

    • Realizar a assinatura das zonas e registros com DNSSEC

    • Realizar a configuração de zonas reversar (in-addr.arpa e ip6.arpa)

    • Não realizar recursão, somente resolução das zonas internas

  • Firewall

    • DNS utiliza UDP e TCP como camadas de transporte, na porta 53.

      • Geralmente UDP para resolução e TCP para transferência de zonas (com tamanho maior que 512 bytes)

      • Porem, a validação do DNSSEC, faz com que geralmente trabalhe em TCP em validações.

  • Sincronismo de Tempo

    • Servidor recursivo que realiza a validação de registros DNSSEC, deve manter o relógio sincronizado com algum mecanismo como NTP.

    • Mas atenção para realizar uma configuração segura do NTP.

DNSSEC: Como saber se meu DNS está realizando as devidas validações?

Uma forma simples é realizar um teste através do site: https://dnssec.vs.uni-due.de/, clicando no botar "start" para iniciar a validação.

Sucesso

Erro

Teste com sucesso

Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".

O serviço está disponível para quais PoPs?

O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:

DF, MA, PA (*), PR, RJ, RS, SC, SP e TO.

* em implantação