DNS Transport over TCP (RFC 7766)

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

DNS Transport over TCP (RFC 7766)

Beitrag von GrandDixence »

Der DNS-Forwarder/DNS-Proxy in LCOS ist nicht konform zu RFC7766:

https://www.rfc-editor.org/info/rfc7766

Es fehlt die Unterstützung von DNS-Anfragen über TCP (Kapitel 5 von RFC 7766). DNS-Anfragen über TCP sind zwingend erforderlich für DNSSEC. Somit sind LANCOM-Geräte im DNS-Bereich nicht förderlich für die IT-Sicherheit.
DNS_ueber_TCP.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Christoph_vW
Beiträge: 282
Registriert: 02 Mai 2011, 09:47
Wohnort: Berlin
Kontaktdaten:

Re: DNS Transport over TCP (RFC 7766)

Beitrag von Christoph_vW »

Hier mal eine Antwort Mail von LANCOM aus meinem E-Mail Archiv:


Sehr geehrter Herr von Wittich,

vielen Dank für Ihre Anfrage vom 30.09.2013.

Das ist korrekt, der LANCOM DNS Dienst unterstützt kein TCP. Daher kann er auch nicht mit einem vollwertigen DNS Server verglichen werden.

Der LANCOM DNS Dienst ist jedoch auch nicht beschränkt auf 512 Byte bei der Nutzung von UDP. Bei einer DNSSEC-Auflösung aus dem LAN ist es daher ebenfalls nicht notwendig, dass der LANCOM DNSSEC unterstützt. Der DNS-Forwarder leitet die entsprechenden UDP-Pakete einfach weiter und der Client handelt DNSSEC mit dem DNS-Server des Provider aus.
Christoph_vW
Beiträge: 282
Registriert: 02 Mai 2011, 09:47
Wohnort: Berlin
Kontaktdaten:

Re: DNS Transport over TCP (RFC 7766)

Beitrag von Christoph_vW »

Meine Anfrage damals war:

der DNS Server im LCOS (8.82 RU1) ist nicht konform zu RFC 5966, es fehlt die Unterstützung des TCP Protokolls.
Somit können DNS Antworten größer 512 Byte durch die Beschränkung des UDP Protokolls nicht verarbeitet werden (wird z.B. für DNSSEC benötigt).

http://tools.ietf.org/html/rfc5966
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: DNS Transport over TCP (RFC 7766)

Beitrag von GrandDixence »

Christoph_vW hat geschrieben:Bei einer DNSSEC-Auflösung aus dem LAN ist es daher ebenfalls nicht notwendig, dass der LANCOM DNSSEC unterstützt.
Wie das abgebildete und beiliegende Beispiel der DNS-DNSSEC-Anfrage von http://www.meteor.bg beweist, wird für einen grossen Teil der DNSSEC-DNS-Auflösungen eine TCP-Verbindung benötigt. EDNS0 (DNS-DNSSEC-Anfragen über UDP-Pakete bis 4096 Byte) ist nur eine Behelfslösung, welche mit IPv6 und der zunehmenden Blockierung von fragmentierten IP-Paketen in IPv4-Netzwerken nicht mehr so toll ist. Deshalb wurde RFC 5966 auch durch RFC 7766 ersetzt.
Antworten