Perguntas frequentes
Para saber em qual cluster está resolvendo, basta realizar testes como:
Nestes exemplos acima, estão apontando para o servidor de SC.
Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com atendimento@rnp.br.
Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS
Segurança
Manter os patchs de segurança atualizados no servidor e serviço
No servidor recursivo:
habilitar a validação DNSSEC
Somente realizar recursão para IPs da organização (ACLs)
No servidor autoritativo:
Realizar a assinatura das zonas e registros com DNSSEC
Realizar a configuração de zonas reversar (in-addr.arpa e ip6.arpa)
Não realizar recursão, somente resolução das zonas internas
Firewall
DNS utiliza UDP e TCP como camadas de transporte, na porta 53.
Geralmente UDP para resolução e TCP para transferência de zonas (com tamanho maior que 512 bytes)
Porem, a validação do DNSSEC, faz com que geralmente trabalhe em TCP em validações.
Sincronismo de Tempo
Servidor recursivo que realiza a validação de registros DNSSEC, deve manter o relógio sincronizado com algum mecanismo como NTP.
Mas atenção para realizar uma configuração segura do NTP.
Uma forma simples é realizar um teste através do site: https://dnssec.vs.uni-due.de/, clicando no botar "start" para iniciar a validação.
Teste com sucesso
Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".
Caso apareça essa imagem informando erro, confira qual é o servidor que seu equipamento está utilizando para resolver o DNS. Se estiver configurado com um servidor da sua instituição, solicite ao administrador do serviço habilitar a validação do DNSSEC.
Caso o servidor corporativo estiver realizando forward para o serviço de DNS recursivo da RNP, poderá ser necessário habilitar a validação DNSSEC no servidor recursivo local.
O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:
* em implantação