Activar verificación de DNSSEC en "dnsmasq"

Por defecto, los sistemas Ubuntu no verifican DNSSEC en el resolver. ¿Es posible solucionarlo?

Ubuntu (y otras muchas distribuciones Linux) emplean dnsmasq como resolver DNS local. Las versiones modernas de dnsmasq soportan DNSSEC, pero no está activado por defecto.

La configuración varía según estemos usando NetworkManager (habitual en entornos domésticos) o no (lo normal en servidores). Describiré el caso de la distribución Ubuntu 16.04:

• Si no utilizamos NetworkManager:

  • Editamos el fichero /etc/dnsmasq.conf, descomentamos y modificamos las líneas:

    #conf-file=%%PREFIX%%/share/dnsmasq/trust-anchors.conf
    #dnssec
    #dnssec-check-unsigned
    

    convirtiéndolas en:

    conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
    dnssec
    dnssec-check-unsigned
    

• Si utilizamos NetworkManager:

  • Añadimos un fichero nuevo en el directorio /etc/NetworkManager/dnsmasq.d/. Supongamos que dicho fichero se llama dnssec.conf. El nombre no es importante, siempre que tenga la extensión conf.

  • El contenido de dicho fichero debe ser:

    conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
    dnssec
    dnssec-check-unsigned
    

Para comprobar si todo está funcionando correctamente, podemos realizar una consulta DNS:

$ dig jcea.es

; <<>> DiG 9.10.3-P4-Ubuntu <<>> jcea.es
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34573
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;jcea.es.                       IN      A

;; ANSWER SECTION:
jcea.es.                28446   IN      A       176.9.11.11

;; Query time: 0 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jan 10 19:56:02 CET 2018
;; MSG SIZE  rcvd: 52

La clave aquí está en el status: NOERROR y en la línea:

;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

Hay que fijarse en los flags. El significado es el siguiente:

• qr: Indica que se trata de una respuesta DNS.
• rd: Indica que en la petición al servidor DNS le solicitamos recursión, si es necesaria para resolver la pregunta DNS.
• ra: Indica que el servidor está dispuesto a darnos recursión.
• ad: Significa Authenticated Data. Es decir, que los datos proporcionados están protegidos por DNSSEC y que la verificación de los mismos ha sido exitosa.

Veamos qué ocurre si solicitamos datos de un dominio DNSSEC configurado expresamente para entregar datos incorrectos, corruptos o manipulados:

$ dig dnssec-failed.org

; <<>> DiG 9.10.3-P4-Ubuntu <<>> dnssec-failed.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1892
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org.             IN      A

;; Query time: 156 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jan 10 20:26:08 CET 2018
;; MSG SIZE  rcvd: 46

Aquí vemos que la resolución DNS falla con un error status: SERVFAIL. No es un código de error muy claro, pero hay muchos sistemas antiguos por ahí que no sabrían interpretar otro tipo de respuesta (DNSSEC es una extensión al protocolo DNS original). La dictatura de los sistemas heredados, que nunca desaparecen del todo.

dnssec-failed.org es un dominio DNS configurado expresamente para fallar la verificación DNSSEC. Podemos verlo en toda su gloria así:

• dnsviz.
• dnssec-debugger.