Escolar Documentos
Profissional Documentos
Cultura Documentos
Regis Trob RD Ns
Regis Trob RD Ns
3 PTT F orum
David Robert Camargo de Campos <david@registro.br> Rafael Dantas Justo <rafael@registro.br> Wilson Rog erio Lopes <wilson@registro.br>
Registro.br
Dezembro de 2009
1 / 135
Objetivos
Entender os conceitos de DNS Congurar servidores autoritativos Congurar servidores recursivos Entender as diferen cas entre DNS e DNSSEC Congurar corretamente o rewall Testar performance dos servidores Planejar escalabilidade de recursivos Monitorar os servidores
2 / 135
Cronograma
DNS Conceitos Arquitetura Servidores DNS Autoritativos Cen ario Arquivos de Zona Congura ca o BIND Congura ca o NSD
DNSSEC Vulnerabilidades do DNS Conceito Congura ca o do Autoritativo Congura ca o do Recursivo Firewalls DNS EDNS0 Congura ca o Testes de Performance Recursivo Autoritativo Escalabilidade de Recursivos Monitoramento Autoritativo Recursivo
Servidores DNS Recursivos 7 Cen ario Congura ca o BIND Servidores DNS Recursivos abertos Recursivo e Autoritativo 8 9
3 / 135
4 / 135
5 / 135
Hierarquia
DNS database
"."
UNIX lesystem
6 / 135
com
br
Zona br
org
eng
Zona eng.br Zona foo.eng.br
nom silva
Zona nom.br
gov
Zona gov.br
Delega c ao
fazenda
foo
joao
tutorial
Zona tutorial.foo.eng.br Zona joao.silva.nom.br Zona fazenda.gov.br
Indica uma transfer encia de responsabilidade na administra c ao apartir daquele ponto na arvore DNS
Domnio br
7 / 135
Resource Records
Os dados associados com os nomes de dom nio est ao contidos em Resource Records ou RRs (Registro de Recursos) S ao divididos em classes e tipos Atualmente existe uma grande variedade de tipos O conjunto de resource records com o mesmo nome de dom nio, classe e tipo e denominado RRset
Indica onde come ca a autoridade a zona Indica um servidor de nomes para a zona Mapeamento de nome a endere co Mapeamento de nome a endere co Mapeia um nome alternativo
(IPv4) (IPv6) (servidor de email)
Tipos de servidores
Servidor Recursivo
Ao receber requisi c oes de resolu c ao de nomes, faz requisi c oes para os servidores autoritativos e conforme a resposta recebida dos mesmos continua a realizar requisi c oes para outros servidores autoritativos at e obter a resposta satisfat oria
Servidor Autoritativo
Ao receber requisi c oes de resolu c ao de nome, responde um endere co caso possua, uma refer encia caso conhe ca o caminho da resolu c ao ou uma nega c ao caso n ao conhe ca
9 / 135
Resolver
Servi co localizado no cliente que tem como responsabilidade resolver as requisi co es DNS para diversos aplicativos
10 / 135
11 / 135
12 / 135
13 / 135
14 / 135
15 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
Resolver
exemplo.foo.eng.br ?
g.b
r?
FOO
TUTORIAL
16 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
FOO
TUTORIAL
17 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
FOO
TUTORIAL
Resolver
18 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
FOO
TUTORIAL
Resolver
19 / 135
Fluxo de dados
1 2 3 4
Resolver faz consultas no Recursivo Recursivo faz consultas no Master ou Slave Master tem a zona original (via arquivo ou Dynamic Update) Slave recebe a zona do Master (AXFR ou IXFR)
20 / 135
21 / 135
Cen ario
Organiza c ao Foo Engenharia Ltda.
Possui o dom nio foo.eng.br registrado no Registro.br; Possui o bloco 200.160.0/24 designado de um provedor; Possui o bloco 2001:12::/32 alocado pelo Registro.br.
Cliente A
Possui o dom nio a.foo.eng.br delegado pela organiza c ao Foo; Possui o bloco 200.160.0.127/28 designado pela organiza c ao Foo.
Cliente B
Possui o dom nio b.foo.eng.br delegado pela organiza c ao Foo; Possui o bloco 200.160.0.191/26 designado pela organiza c ao Foo.
22 / 135
Cen ario
Organizao Foo Engenharia Ltda. foo.eng.br 2001:12::/32 200.160.0/24
23 / 135
Cen ario
Alocados
200.160.0.0/25
Livres
200.160.0.143/28
200.160.0.127/28
200.160.0.159/27
200.160.0.191/26 200.160.0/24
24 / 135
db.foo.eng.br
foo.eng.br. 86400 IN SOA 2009120200 ; 3600 ; 3600 ; 3600 ; 900 ) ; ns1.foo.eng.br. hostmaster.foo.eng.br. ( serial refresh retry expire minimum
;; Servidores DNS que respondem por esta zona foo.eng.br. 86400 IN NS ns1.foo.eng.br. foo.eng.br. 86400 IN NS ns2.foo.eng.br. ;; Cliente A a.foo.eng.br. a.foo.eng.br. ;; Cliente B b.foo.eng.br. b.foo.eng.br.
25 / 135
db.foo.eng.br
;; Tradu c ao nomes IPs (GLUEs) ns1.foo.eng.br. 86400 IN A 200.160.0.1 ns2.foo.eng.br. 86400 IN A 200.160.0.2 ns1.foo.eng.br. 86400 IN AAAA 2001:12ff::1 ns2.foo.eng.br. 86400 IN AAAA 2001:12ff::2 ns1.a.foo.eng.br. ns2.a.foo.eng.br. ns1.b.foo.eng.br. ns2.b.foo.eng.br. ;; Web server www.foo.eng.br. www.foo.eng.br. 86400 86400 86400 86400 IN IN IN IN A A A A 200.160.0.128 200.160.0.129 200.160.0.192 200.160.0.193
26 / 135
;; Servidores DNS que respondem por esta zona reverso 0.160.200.in-addr.arpa. 0.160.200.in-addr.arpa. 172800 IN NS ns1.foo.eng.br. 172800 IN NS ns2.foo.eng.br.
;; Cliente A (200.160.0.127 200.160.0.142 = 200.160.0.127/28) 127/28.0.160.200.in-addr.arpa. 127/28.0.160.200.in-addr.arpa. 128.0.160.200.in-addr.arpa. 129.0.160.200.in-addr.arpa. ... 142.0.160.200.in-addr.arpa. 172800 IN NS ns1.a.foo.eng.br. 172800 IN NS ns2.a.foo.eng.br. 172800 IN CNAME 128.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 129.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 142.127/28.0.160.200.in-addr.arpa.
27 / 135
28 / 135
29 / 135
ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. 1 86400 IN PTR ns1.foo.eng.br. 2 86400 IN PTR ns2.foo.eng.br. 3 86400 IN PTR www.foo.eng.br.
Diculdade
A inviabilidade de listar todos os reversos dos hosts de um bloco IPv6 gerou diversas discuss oes. O draft draft-howard-isp-ip6rdns-01 aborda este tema.
30 / 135
Publica c ao de Reverso
Informa c ao
Para as delega c oes informadas diretamente na interface do Registro.br (/24 ou maior) as publica c oes das altera c oes ocorrem a cada 4 horas com nicio as 2hs.
31 / 135
db.a.foo.eng.br
a.foo.eng.br. 86400 IN 2009120200 3600 3600 3600 900 ) SOA ns1.a.foo.eng.br. hostmaster.a.foo.eng.br. ( ; serial ; refresh ; retry ; expire ; minimum
;; Servidores DNS que respondem por esta zona a.foo.eng.br. 86400 IN NS ns1.a.foo.eng.br. a.foo.eng.br. 86400 IN NS ns2.a.foo.eng.br. ;; Tradu c ao nomes IPs (GLUEs) ns1.a.foo.eng.br. 86400 IN A 200.160.0.128 ns2.a.foo.eng.br. 86400 IN A 200.160.0.129 ;; Web server www.a.foo.eng.br.
86400 IN A 200.160.0.142
32 / 135
db.127.0.160.200.in-addr.arpa
127/28.0.160.200.in-addr.arpa. 172800 IN SOA ns1.a.foo.eng.br. 2009120200 ; serial 3600 ; refresh 3600 ; retry 3600 ; expire 900 ) ; minimum ;; Servidores DNS que respondem por esta zona reverso 127/28.0.160.200.in-addr.arpa. 127/28.0.160.200.in-addr.arpa. ;; Endere cos reversos 128.127/28.0.160.200.in-addr.arpa. 129.127/28.0.160.200.in-addr.arpa. ... 142.127/28.0.160.200.in-addr.arpa. 172800 IN PTR ns1.a.foo.eng.br. 172800 IN PTR ns2.a.foo.eng.br. 172800 IN PTR www.a.foo.eng.br. 172800 IN NS ns1.a.foo.eng.br. 172800 IN NS ns2.a.foo.eng.br. hostmaster.a.foo.eng.br. (
33 / 135
db.b.foo.eng.br
b.foo.eng.br. 86400 IN 2009120200 3600 3600 3600 900 ) SOA ns1.b.foo.eng.br. hostmaster.b.foo.eng.br. ( ; serial ; refresh ; retry ; expire ; minimum
;; Servidores DNS que respondem por esta zona b.foo.eng.br. 86400 IN NS ns1.b.foo.eng.br. b.foo.eng.br. 86400 IN NS ns2.b.foo.eng.br. ;; Tradu c ao nomes IPs (GLUEs) ns1.b.foo.eng.br. 86400 IN A 200.160.0.192 ns2.b.foo.eng.br. 86400 IN A 200.160.0.193 ;; Web server www.b.foo.eng.br.
86400 IN A 200.160.0.254
34 / 135
db.191.0.160.200.in-addr.arpa
191/26.0.160.200.in-addr.arpa. 172800 IN SOA ns1.b.foo.eng.br. 2009120200 ; serial 3600 ; refresh 3600 ; retry 3600 ; expire 900 ) ; minimum ;; Servidores DNS que respondem por esta zona reverso 191/26.0.160.200.in-addr.arpa. 191/26.0.160.200.in-addr.arpa. ;; Endere cos reversos 192.191/26.0.160.200.in-addr.arpa. 193.191/26.0.160.200.in-addr.arpa. ... 254.191/26.0.160.200.in-addr.arpa. 172800 IN PTR ns1.b.foo.eng.br. 172800 IN PTR ns2.b.foo.eng.br. 172800 IN PTR www.b.foo.eng.br. 172800 IN NS ns1.b.foo.eng.br. 172800 IN NS ns2.b.foo.eng.br. hostmaster.b.foo.eng.br. (
35 / 135
36 / 135
37 / 135
38 / 135
39 / 135
41 / 135
43 / 135
44 / 135
Observa c ao
O NSD quando utilizado como master n ao envia IXFR para os slaves. Mas caso o NSD seja utilizado como slave, ele entende requisi c oes IXFR.
45 / 135
46 / 135
47 / 135
48 / 135
49 / 135
50 / 135
51 / 135
Cen ario
A organiza c ao Foo deseja disponibilizar um servidor DNS recursivo para sua infra-estrutura local e para todos os seus clientes. Este servidor DNS recursivo ter a o IPv4 200.160.0.6 e o IPv6 2001:12::6.
52 / 135
Aviso
N ao utilizem a op c ao query-source. Ao xar uma porta de origem o servidor DNS ca muito mais vulner avel a ataques de polui c ao de cache. Principalmente aos ataques descritos por Dan Kaminsky.
53 / 135
54 / 135
unbound.conf
server: port: 53 interface: 127.0.0.1 interface: 200.160.0.6 interface: 2001:12ff::6 access-control: 0.0.0.0/0 refuse access-control: 200.160.0.0/24 allow access-control: 127.0.0.0/8 allow access-control: ::0/0 refuse access-control: 2001:12ff::/32 allow directory: /usr/local/unbound/etc/unbound chroot: /usr/local/unbound/etc/unbound username: unbound logfile: unbound.log do-ip4: yes do-ip6: yes
55 / 135
Efeito
Aceitam consultas DNS vindas de qualquer computador da Internet. Possibilita ataques de amplica c ao de respostas DNS e uso de banda por terceiros.
Solu c ao
Congura c ao correta do rewall. BIND: NSD:
access-control: access-control: access-control: 0.0.0.0/0 refuse 200.160.0.0/24 allow 127.0.0.0/8 allow
acl clientes { 127.0.0.0/8; 200.160.0.0/24; }; allow-query { clientes; }; allow-query-cache { clientes; }; allow-recursion { clientes; };
56 / 135
57 / 135
58 / 135
Explicando...
Recursivo e autoritativo possui congura c oes de acesso diferentes; As regras de rewalls s ao distintas;
59 / 135
60 / 135
Vulnerabilidades do DNS
61 / 135
62 / 135
O que e DNSSEC?
Extens ao da tecnologia DNS (o que existia continua a funcionar) Possibilita maior seguran ca para o usu ario na Internet (corrige falhas do DNS)
O que garante?
Origem (Autenticidade) Integridade A n ao exist encia de um nome ou tipo
O que e DNSSEC?
O que e DNSSEC?
O que e DNSSEC?
O resolver recursivo j a possui a chave p ublica da zona .br ancorada.
66 / 135
O que e DNSSEC?
Nesta simula c ao de resolu c ao supomos que a raiz n ao est a assinada.
67 / 135
O que e DNSSEC?
Retorna sem resposta, mas com refer encia para os Records: NS do .br.
68 / 135
O que e DNSSEC?
O servidor recursivo requisita a DNSKEY ao vericar que o nome da zona e igual ao nome da zona que consta em sua trusted-key.
69 / 135
O que e DNSSEC?
O servidor DNS responde enviando DNSKEY e o RRSIG
70 / 135
O que e DNSSEC?
Compara a trusted-key com a DNSKEY, caso for v alida continua com as requisi co es
71 / 135
O que e DNSSEC?
72 / 135
O que e DNSSEC?
Retorna sem resposta, mas com refer encia para os Records:
- NS do foo.eng.br
73 / 135
O que e DNSSEC?
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record DS
74 / 135
O que e DNSSEC?
75 / 135
O que e DNSSEC?
76 / 135
O que e DNSSEC?
O servidor DNS recursivo verica atrav es do DS e da DNSKEY, se este servidor DNS e v alido.
77 / 135
O que e DNSSEC?
em ex
se cia
rv
fe Re
ex em
Resolver
exemplo.foo.eng.br ?
g.b
r?
78 / 135
O que e DNSSEC?
Retorna o Record A e sua assinatura RRSIG.
Servidor DNS Autoritativo
g.b r? s re ido .br n o.e .fo plo n re
em ex
se cia
rv
fe Re
ex em
20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
79 / 135
O que e DNSSEC?
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record A
em ex
se cia
rv
fe Re
ex em 20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
80 / 135
O que e DNSSEC?
81 / 135
Startup
Gerar a chave assim etrica; Incluir a chave na zona; Assinar a zona; Mudar a refer encia para o arquivo de zona nas congura c oes; Incluir o DS na interface do Registro.br.
Manuten c ao
Reassinar periodicamente a zona.
82 / 135
Manuten c ao
1 2
P ublico Alvo
Provedores de hospedagem ou qualquer outra institui c ao respons avel por administrar servidores DNS autoritativos para muitas zonas
84 / 135
Startup
Ancorar a chave p ublica do.BR
Manuten c ao
Para servidores DNS com suporte a RFC 5011: Nada! Para servidores DNS sem suporte a RFC 5011: Trocar a chave ancorada todas as vezes em que ocorrer um rollover no .BR
85 / 135
Unbound (unbound.conf):
trust-anchor: br. DS 18457 5 1 1067149C134A5B5FF8FC5ED0996E4E9E50AC21B1
Manuten c ao
1 2
Obtenha a nova chave em https://registro.br/ksk/; Ancore a nova chave no servidor DNS recursivo.
86 / 135
Parte VI Firewalls
87 / 135
DNS
Denido nas RFCs 1034 e 1035; Servidores aceitam consultas em transporte TCP/UDP, porta 53; Payload maximo em transporte UDP de 512 bytes; Payload maximo por mensagem DNS em TCP de 64 Kbytes.
88 / 135
DNS
Consulta inicial via UDP; Resposta maior do que 512 bytes, ag TC e marcada para indicar que sua resposta est a truncada; Cliente refaz consulta via TCP.
89 / 135
Denido na RFC 2671; Extens ao do protocolo DNS original para eliminar alguns limites do protocolo; Permite:
mais ags e RCODEs ao cabe alho DNS; novos tipos de labels; payloads maiores em transporte UDP (limitado a 64 Kbytes); dene um novo pseudo-RR: OPT.
90 / 135
Depende de suporte tanto no cliente como no servidor; Cliente envia consulta UDP com pseudo-RR OPT na se c ao Additional da mensagem DNS, informando qual o tamanho m aximo de respostas UDP que pode processar; Se servidor suportar EDNS0, pode aumentar o limite para o tamanho da resposta que vai retornar ao cliente, evitando re-query via TCP; Se servidor n ao suportar EDNS0, envia resposta com at e 512 bytes de payload DNS.
91 / 135
Alguns exemplos de servidores que suportam EDNS0: Bind (desde 8.3.x - 2001); Microsoft DNS server (Windows 2003); NSD (auth only - desde 1.x - 2003); ANS/CNS.
92 / 135
Congurando o Firewall
93 / 135
Congurando o Firewall
Autoritativos
Consultas com destino ` a porta 53 UDP e TCP do servidor autoritativo e respectivas respostas devem ser permitidas.
Recursivos
Consultas do servidor recursivo com destino ` a porta 53 UDP e TCP de qualquer outro servidor e respectivas respostas devem ser permitidas; Consultas vindas de clientes autorizados com destino ` a porta 53 UDP e TCP do servidor recursivo e respectivas respostas devem ser permitidas; Bloqueio ` as demais consultas DNS direcionadas ao servidor recursivo.
94 / 135
Congurando o Firewall
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0, verique se seu rewall permite datagramas UDP/DNS com mais de 512 bytes. Um teste pode ser feito atrav es da seguinte consulta (935 bytes de payload DNS):
dig @a.dns.br br ns +dnssec +bufsize=1000
Se a resposta n ao for recebida, pode-se: corrigir o comportamento do rewall; diminuir o payload m aximo enviado via record OPT na congura c ao; EDNS0 do servidor para 512 bytes.
95 / 135
Congurando o Firewall
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0 e o rewall suporta mensagens DNS maiores que 512 bytes, verique se seu rewall e capaz de fazer o correto reassembly de datagramas UDP fragmentados. Um teste pode ser feito atrav es da seguinte consulta (2185 bytes de payload DNS):
dig @a.dns.br br dnskey +dnssec +bufsize=2500
Se a resposta n ao for recebida, pode-se: corrigir o comportamento do rewall; diminuir o payload m aximo enviado via record OPT na congura c ao EDNS0 do resolver. RFC EDNS0 sugere que se congure baseado em MTU de 1280 bytes.
96 / 135
97 / 135
98 / 135
Responde ` a consultas
consultas j a em cache consulta servidores autoritativos
Aviso
Exatid ao de uma simula c ao depende da comunica c ao com os autoritativos
99 / 135
Testes Propostos
Consultas em cache Algumas dezenas de consultas repetidas por 5 minutos !Cache Servidor com cache limpo Consultas u nicas durante 5 minutos Todas as consultas v alidas
100 / 135
101 / 135
-s: -r:
102 / 135
103 / 135
104 / 135
105 / 135
106 / 135
Responde apenas consultas para zonas conguradas Zonas carregadas em mem oria
107 / 135
Teste Proposto
Servidor autoritativo com 1000 zonas conguradas Dois clientes consultam aleatoriamente registros existentes nessas zonas
108 / 135
109 / 135
-s: -l:
110 / 135
111 / 135
112 / 135
113 / 135
Escalabilidade de Recursivos
Motiva c ao
DNS recursivo inst avel e foco de reclama c oes constantes
114 / 135
Escalabilidade de Recursivos
Escalabilidade e Estabilidade
Suporte a alto tr afego Suporte a muitos usu arios F acil upgrade caso a demanda aumente Manuten c ao sem parada do sistema Alta disponibilidade Balanceamento de carga
115 / 135
Escalabilidade de Recursivos
Cluster
116 / 135
Escalabilidade de Recursivos
Flexibilidade
Mais de um roteador Mais de um switch
117 / 135
Escalabilidade de Recursivos
Solu c ao
Roteador + [UNIX + Quagga + BIND] Endere co do servi co roda na loopback dos servidores Anycast dentro do cluster Protocolo de roteamento din amico com suporte a ECMP - OSPF
118 / 135
Escalabilidade de Recursivos
Topologia
119 / 135
Escalabilidade de Recursivos
Anycast na Rede
Redundancia IBGP entre os clusters
120 / 135
Escalabilidade de Recursivos
ECMP
Assimetria de tr afego O balanceamento de carga n ao e exato Incoer encia de cache entre os servidores O cache dos servidores n ao s ao id enticos, pois o tr afego que eles recebem tamb em n ao e N ao h a problema!
121 / 135
Escalabilidade de Recursivos
Detalhes do BIND
BIND rodando nas duas interfaces Queries chegam para a loopback Monitora c ao pelo endere co individual acl Max-cache-size recursive-clients
122 / 135
Escalabilidade de Recursivos
Controle
1 2
Iniciar processo do BIND Subir interface loopback Quagga envia LSA para o roteador ifconfig lo1 up Tirar o servidor do ar Enviar LSA removendo a rota ifconfig lo1 down
123 / 135
Escalabilidade de Recursivos
Recursos
Exemplo:
Rede com 1M de usu arios simult aneos M edia de 50 q/h (por usu ario)
50 x 1M = 50M q/h
14k q/s
Um unico servidor (com hardware robusto) e capaz de suportar esta carga Sugest ao para atingir alta disponibilidade: - cluster com 3 ou 4 servidores
124 / 135
Escalabilidade de Recursivos
Monitora c ao
Processo do BIND est a no ar? Monitorar endere co unicast de cada servidor Qual servidor que est a respondendo? dig @192.168.1.1 chaos txt hostname.bind +short Watchdog Caso o BIND pare de responder ifconfig lo1 down
125 / 135
Parte IX Monitoramento
126 / 135
Monitoramento
Autoritativos
Disponibilidade Autoridade sobre as zonas Vers ao da zona (serial) DNSSEC - valida c ao Recursos
127 / 135
Monitoramento - Autoritativo
SNMP - cpu, mem oria, tr afego Nagios Plugin check dns Alertas via email, sms Status Information:OK: Servidor a.dns.br. (200.160.0.10) respondendo com autoridade para com.br Custom Plugins - Serial, DNSSEC
128 / 135
Monitoramento - Autoritativo
DSC - DNS Statistics Collector Dispon vel em http://dns.measurement-factory.com/tools/dsc/ Collector - Processo que usa a libpcap para coletar pacotes DNS Armazena em XML Presenter - Recebe datasets XML dos coletores estat sticas CGI plota as
129 / 135
Monitoramento - Autoritativo
130 / 135
Monitoramento - Autoritativo
Query Types
131 / 135
Monitoramento
Recursivos
Disponibilidade Recursos
132 / 135
Monitoramento - Recursivo
Custom Plugins
133 / 135
Perguntas?
134 / 135
Refer encias
RFC 2317 Classless IN-ADDR.ARPA delegation DNS recursivo est avel e escal avel ftp://ftp.registro.br/pub/gter/gter23/05-DNSrecEstavelEscalavel.pdf Firewalls e DNS, como e porque congurar corretamente ftp://ftp.registro.br/pub/doc/dns-fw.pdf Recomenda co es para Evitar o Abuso de Servidores DNS Recursivos Abertos http://www.cert.br/docs/whitepapers/dns-recursivo-aberto Au ltima vers ao do tutorial de DNSSEC pode ser encontrada em ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
135 / 135