FAQ
Perguntas frequentes
Para saber em qual cluster está resolvendo, basta realizar testes como:
$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"
$ nslookup -q=txt -class=CHAOS version.bind 200.19.16.53
Server: 200.19.16.53
Address: 200.19.16.53#53
version.bind text = "RNP ANYCAST - sc 442cb87c1971"
Nestes exemplos acima, estão apontando para o servidor de SC.
Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com [email protected].
Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS
- Desempenho / controle
- Separar DNS Autoritativo do DNS Recursivo
- Ter um recursor DNS realizando cache o mais próximo ao usuário final
- Se possível, realizar forward para o serviço dns.rnp.br para maior desempenho.
- Segurança
- Manter os patchs de segurança atualizados no servidor e serviço
- No servidor recursivo:
- habilitar a validação DNSSEC
- Somente realizar recursão para IPs da organização (ACLs)
- No servidor autoritativo:
- Realizar a assinatura das zonas e registros com DNSSEC
- Realizar a configuração de zonas reversar (in-addr.arpa e ip6.arpa)
- Não realizar recursão, somente resolução das zonas internas
- Firewall
- DNS utiliza UDP e TCP como camadas de transporte, na porta 53.
- Geralmente UDP para resolução e TCP para transferência de zonas (com tamanho maior que 512 bytes)
- Porem, a validação do DNSSEC, faz com que geralmente trabalhe em TCP em validações.
- Sincronismo de Tempo
- Servidor recursivo que realiza a validação de registros DNSSEC, deve manter o relógio sincronizado com algum mecanismo como NTP.
- Mas atenção para realizar uma configuração segura do NTP.
Uma forma simples é realizar um teste através do site: https://dnssec.vs.uni-due.de/, clicando no botar "start" para iniciar a validação.
Sucesso
Erro
Teste com sucesso
Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".

Sucesso: DNSSEC sendo validado
Caso apareça essa imagem informando erro, confira qual é o servidor que seu equipamento está utilizando para resolver o DNS. Se estiver configurado com um servidor da sua instituição, solicite ao administrador do serviço habilitar a validação do DNSSEC.

Erro - DNSSEC não validado
Caso o servidor corporativo estiver realizando forward para o serviço de DNS recursivo da RNP, poderá ser necessário habilitar a validação DNSSEC no servidor recursivo local.
O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:
* em implantação
Last modified 2yr ago