Para administradores de rede / infraestrutura

Realizar a configuração do DNS Forward dentro do servidor recursivo da instituição

options {
...
        forwarders {
                // SERVICO DNS.RNP.BR
                200.19.16.53;
                200.137.53.53;
                2001:12f0:253::53;
                2001:12f0:353::53;
        };
...
}

$ sudo rndc reload

forward-zone:
        name: "."
        forward-addr: 200.19.16.53
        forward-addr: 200.137.53.53
        forward-addr: 2001:12f0:253::53
        forward-addr: 2001:12f0:353::53

$ sudo service unbound reload

$ dig @127.0.0.1 www.rnp.br

[...]
no-resolv

# servidores DNS Anycast RNP
server=200.19.16.53
server=200.137.53.53
server=2001:12f0:253::53
server=2001:12f0:353::53

/etc/dhcpd.conf
...
option domain-name-servers 200.19.16.53, 200.137.53.53;
...

subnet 192.168.1.0 netmask 255.255.255.0 {

        option routers                  192.168.1.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        192.168.1.255;
        option domain-name-servers      200.19.16.53, 200.137.53.53;
....
}

Usuários finais

Realizar a configuração dos resolvedores DNS de forma estática dentro do seu sistema operacional!

DNS IPv4: 200.19.16.53,200.137.53.53
DNS IPv6: 2001:12f0:253::53,2001:12f0:353::53

nameserver 200.19.16.53
nameserver 200.137.53.53
nameserver 2001:12f0:253::53
nameserver 2001:12f0:353::53

Após visitar o guia de ajuda e ler nossa FAQ, se ainda necessitar de contato com os especialistas do serviço, seja para obter informação do serviço ou reportar algum problema do EduDNS, basta registrar sua demanda em https://atendimento.rnp.br/ -> Preciso de ajuda em algum serviço -> EduDNS.

Como posso saber em qual PoP está resolvendo?

Para saber em qual cluster está resolvendo, basta realizar testes como:

1) DIG

$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"

2) NSLOOKUP

$ nslookup  -q=txt -class=CHAOS version.bind 200.19.16.53
Server:		200.19.16.53
Address:	200.19.16.53#53

version.bind	text = "RNP ANYCAST - sc 442cb87c1971"

Nestes exemplos acima, estão apontando para o servidor de SC.

Por que minha consulta está retornando "REFUSED"?

Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com atendimento@rnp.br.

Quais são as boas práticas para o serviço de DNS

Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS

• Desempenho / controle

  • Separar DNS Autoritativo do DNS Recursivo

  • Ter um recursor DNS realizando cache o mais próximo ao usuário final

    • Se possível, realizar forward para o serviço dns.rnp.br para maior desempenho.

• Segurança

  • Manter os patchs de segurança atualizados no servidor e serviço

  • No servidor recursivo:

    • habilitar a validação DNSSEC

    • Somente realizar recursão para IPs da organização (ACLs)

  • No servidor autoritativo:

    • Realizar a assinatura das zonas e registros com DNSSEC

    • Realizar a configuração de zonas reversar (in-addr.arpa e ip6.arpa)

    • Não realizar recursão, somente resolução das zonas internas

  • Firewall

    • DNS utiliza UDP e TCP como camadas de transporte, na porta 53.

      • Geralmente UDP para resolução e TCP para transferência de zonas (com tamanho maior que 512 bytes)

      • Porem, a validação do DNSSEC, faz com que geralmente trabalhe em TCP em validações.

  • Sincronismo de Tempo

    • Servidor recursivo que realiza a validação de registros DNSSEC, deve manter o relógio sincronizado com algum mecanismo como NTP.

    • Mas atenção para realizar uma configuração segura do NTP.

DNSSEC: Como saber se meu DNS está realizando as devidas validações?

Uma forma simples é realizar um teste através do site: https://dnssec.vs.uni-due.de/, clicando no botar "start" para iniciar a validação.

O serviço está disponível para quais PoPs?

O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:

DF, MA, PA (*), PR, RJ, RS, SC, SP e TO.

* em implantação

Análise da oferta de serviço DNS à luz do Marco Civil da Internet (MCI) e Lei Geral de Proteção de Dados Pessoais (LGPD)

Para o serviço EduDNS, à RNP em fornecer um serviço adequado aos aspectos legais do MCI e LGPD, sendo validado pelo seu Centro de Atendimento de Incidentes de Segurança - CAIS, onde descreve no relatório da análise da oferta do serviço:

"Considerando as características de funcionamento do protocolo DNS, do funcionamento do serviço de resolução de nomes e as disposições das leis 12.965 e 13.709, conclui-se que a oferta de uma infraestrutura de DNS Anycast, como serviço opcional ofertado às instituições integrantes do SistemaRNP, não ferem nem comprometem o cumprimento da RNP quanto ao Marco Civil da Internet ou à Lei geral de proteção de dados pessoais."

Dados coletados no serviço DNS

O serviço DNS transaciona, de forma padronizada, dados necessários para a identificação e resposta de consultas a nomes de domínios, além de dados para o correto registro dessas consultas.

Abaixo segue um exemplo de log gerado numa consulta DNS, com descrição dos principais tipos de dados:

// TAPLOG

type: MESSAGE
identity: d03221680db1
version: ABC X.Y.Z
message:
type: CLIENT_RESPONSE
response_time: !!timestamp 2021-09-09T14:54:58Z *1
message_size: 98b
socket_family: INET
socket_protocol: UDP
query_address: 192.0.0.1 *2
response_address: 200.137.53.53 *3
query_port: 40193
response_port: 0
response_message_data:
opcode: QUERY
status: NOERROR
id: 56071
flags: qr rd ra cd
QUESTION: 1
ANSWER: 1
AUTHORITY: 0
ADDITIONAL: 1
OPT_PSEUDOSECTION:
EDNS:
version: 0
flags: do
udp: 1232
COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
QUESTION_SECTION:
- fale-conosco.caixa.gov.br. IN *4
ANSWER_SECTION:
- fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171 *5
response_message: |
;; ->>HEADER< ;; flags: qr rd ra cd ; QUESTION: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
;; QUESTION SECTION:
;fale-conosco.caixa.gov.br. IN A
;; ANSWER SECTION:
fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171

Sendo os principais:

*1 - Carimbo de tempo *2 - IP do originador da consulta *3 - IP do servidor de DNS (EduDNS) *4 - Domínio consultado *5 - IP do domínio/nome consultado

Como demonstrado no quadro acima, os dados utilizados numa consulta DNS são principalmente: • Dados para controle da consulta – timestamp, ID, etc • Dados do originador da consulta – Endereço IP, porta, protocolo, etc • Dados do servidor DNS - dados de identificação do servidor, versão do sistema, endereço IP, etc • Dados da consulta – domínio consultado e IP de resposta

Quais são os servidores disponíveis?

O que é o serviço EduDNS?

O EduDNS é um serviço de DNS Anycast recursivo que pode ser utilizado por todas as organizações usuárias da RNP. O serviço foi projetado para ter 100% de disponibilidade e roda em vários servidores localizados nos diversos PoPs da RNP, o que faz com que continue funcionando mesmo com múltiplas falhas.

O EduDNS está em conformidade com aspectos legais do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais (LGPD).

Por que utilizar Anycast?

Através da técnica de IP Anycast é possível rodar múltiplas réplicas de um serviço em diferentes localidades utilizando o mesmo endereçamento IP. Desta forma, o roteador escolhe o caminho mais curto para encaminhar o pacote e, consequentemente, acessar o nó mais próximo do serviço.

Uma grande vantagem do IP Anycast está associada a disponibilidade. No caso de haver queda de um cluster qualquer do serviço em determinada localidade, automaticamente o usuário é encaminhado para outro ponto (cluster) de entrega do serviço.