Passa al contenuto principale

3. Background to DNS64-DNSSEC Interaction (Contesto dell'Interazione DNS64-DNSSEC)

3. Background to DNS64-DNSSEC Interaction (Contesto dell'Interazione DNS64-DNSSEC)

DNSSEC ([RFC4033], [RFC4034], [RFC4035]) presenta una sfida speciale per DNS64, perché DNSSEC è progettato per rilevare modifiche alle risposte DNS, e DNS64 può alterare le risposte provenienti da un server autorevole.

Un resolver ricorsivo può essere security-aware o security-oblivious. Inoltre, un resolver ricorsivo security-aware può essere validante o non validante, secondo la policy dell'operatore. Nei casi seguenti, il resolver ricorsivo sta anche eseguendo DNS64 e ha una policy locale per validare. Chiamiamo questo caso generale vDNS64, ma in tutti i casi seguenti, si dovrebbe assumere che la funzionalità DNS64 sia necessaria.

DNSSEC include alcuni bit di segnalazione che offrono alcuni indicatori di ciò che l'originatore della query comprende.

Se una query arriva a un dispositivo vDNS64 con il bit "DNSSEC OK" (DO) impostato, l'originatore della query sta segnalando che comprende DNSSEC. Il bit DO non indica che l'originatore della query validerà la risposta. Significa solo che l'originatore della query può comprendere risposte contenenti dati DNSSEC. Viceversa, se il bit DO è chiaro, questo è una prova che l'agente richiedente non è consapevole di DNSSEC.

Se una query arriva a un dispositivo vDNS64 con il bit "Checking Disabled" (CD) impostato, è un'indicazione che l'agente richiedente vuole tutti i dati di validazione in modo da poter effettuare il controllo da solo. Per policy locale, vDNS64 potrebbe comunque validare, ma DEVE restituire tutti i dati all'agente richiedente comunque.

Ecco i casi possibili:

  1. Un DNS64 (consapevole di DNSSEC o ignaro di DNSSEC) riceve una query con il bit DO chiaro. In questo caso, DNSSEC non è una preoccupazione, perché l'agente richiedente non comprende le risposte DNSSEC. Il DNS64 può effettuare la validazione della risposta, se dettato dalla sua policy locale.

  2. Un DNS64 security-oblivious riceve una query con il bit DO impostato, e il bit CD chiaro o impostato. Questo è proprio come il caso di un non-DNS64: il server non lo supporta, quindi l'agente richiedente è sfortunato.

  3. Un DNS64 security-aware e non validante riceve una query con il bit DO impostato e il bit CD chiaro. Un tale resolver non sta validando le risposte, probabilmente a causa della policy locale (vedere [RFC4035], Sezione 4.2). Per questa ragione, questo caso ammonta allo stesso del caso precedente, e non avviene validazione.

  4. Un DNS64 security-aware e non validante riceve una query con il bit DO impostato e il bit CD impostato. In questo caso, il DNS64 dovrebbe passare tutti i dati che ottiene all'iniziatore della query (vedere Sezione 3.2.2 di [RFC4035]). Questo caso non funzionerà con DNS64, a meno che il resolver validante non sia preparato a fare DNS64 da solo. Se il DNS64 modifica il record, il client otterrà i dati indietro e cercherà di validarli, e i dati saranno invalidi per quanto riguarda il client.

  5. Un resolver DNS64 security-aware e validante riceve una query con il bit DO chiaro e il bit CD chiaro. In questo caso, il resolver valida i dati. Se fallisce, restituisce RCODE 2 (Server failure); altrimenti, restituisce la risposta. Questo è il caso ideale per vDNS64. Il resolver valida i dati, e poi sintetizza il nuovo record e lo passa al client. Il client, che presumibilmente non sta validando (altrimenti avrebbe dovuto impostare DO e CD), non può dire che DNS64 è coinvolto.

  6. Un resolver DNS64 security-aware e validante riceve una query con il bit DO impostato e il bit CD chiaro. Questo funziona come il caso precedente, tranne che il resolver dovrebbe anche impostare il bit "Authentic Data" (AD) sulla risposta.

  7. Un resolver DNS64 security-aware e validante riceve una query con il bit DO impostato e il bit CD impostato. Questo è effettivamente lo stesso del caso in cui un resolver ricorsivo security-aware e non validante riceve una query simile, e la stessa cosa accadrà: il validatore downstream segnerà i dati come invalidi se DNS64 ha eseguito la sintesi. Il nodo deve fare DNS64 da solo, altrimenti la comunicazione fallirà.