Metodika testování DNS a domén

Úvod

Cílem tohoto projektu je na základě standardů, doporučení (dokumenty RFC, doporučení RIPE, viz. seznam RFC dokumentů o DNS) a zkušeností s provozem DNS systému sestavit seznam pravidel, která musí nebo by měly testované DNS servery splňovat.

Před studiem následující sady testů doporučuji nejprve prostudovat průvodce systémem DNS, kde je vysvětlena veškerá teorie.

Test libovolné domény podle níže uvedené sady testovacích pravidel si můžete on-line provést na stránce Test funkčnosti a nastavení DNS serverů

Každý test může mít

• V pořádku – v testu byla zkoumána správnost nějakého údaje či stavu a vše je v pořádku – tj. funkční či přesně v souladu s nějakým standardem či doporučením.
• Chyba – nesplnění zkoumané věci způsobuje úplnou nebo částečnou nefunkčnost či omezení provozu dané služby, která tak neplní správně svůj účel. Systém nefunguje buď vůbec nebo funguje pouze část systému, případně má systém zásadní bezpečnostní problémy, nedostatky ve svém nastavení anebo zcela odporuje nějakému standardu či doporučení.
• Varování – nesplnění nezpůsobuje bezprostřední nefunkčnost systému, avšak jedná se o jeho nesprávný stav, který může v nefunkčnost či jiný problém vyústit, a tak je nutno tomuto varování věnovat pozornost.
• Upozornění – sledovaný parametr je po funkční stránce v pořádku, avšak není nastaven tak, jak je všeobecně doporučené. Může se jednat o chybu v nastavení (překlep administrátora, neznalost problematiky) anebo to může být také speciální účelové nastavení.
• Informace – nejedná se o testování správnosti nějakého údaje, pouze se nějaké zajímavé informace zjišťují a analyzují. Výsledek je čistě informativní.
  

Obecná kontrola serverů

• odpověď serverů
• sériová čísla zóny
• autoritativita serverů pro doménu
• nastavení potřebných glue záznamů
• shoda glue záznamů a A záznamů v zóně domény
• přítomnost NS záznamů v zóně domény
• shoda NS záznamů se seznamem autoritativních serverů
• rekurzivní dotazy
• veřejné AXFR
• DNS servery na veřejných IP adresách
• doporučený počet DNS serverů
• TTL hodnoty u NS záznamů na nadřazeném DNS serveru
• TTL hodnoty u NS záznamů v zóně
• reverzní záznamy DNS serverů

Kontrola umístění DNS serverů v síti Internet

• různé autonomní systémy (AS) DNS serverů
• různé podsítě DNS serverů
• různé IP adresy DNS serverů

Kontrola údajů v SOA záznamu domény

• server ze SOA MNAME jako NS záznam
• kontrola položky SOA MNAME
• stejné MNAME v SOA od všech serverů
• kontrola položky SOA RNAME
• doporučený tvar sériového čísla YYYYMMDDnn
• kontrola hodnoty SOA REFRESH
• kontrola hodnoty SOA RETRY
• kontrola hodnoty SOA EXPIRE
• kontrola hodnoty SOA MINIMUM

Kontrola A záznamů a WWW serveru

• kontaktování WWW serveru
• kód odpovědi HTTP
• zjištění softwaru serveru
• přítomnost AAAA záznamů
• TTL hodnoty u A záznamů
• TTL hodnoty u AAAA záznamů
• reverzní záznamy WWW serveru

Kontrola MX záznamů a mailserverů

• počet MX záznamů
• kontrola syntaxe MX záznamů
• překlad MX záznamů na IP adresy
• duplicita MX záznamů
• kontrola TTL MX záznamů
• reverzní záznamy MX záznamů
• kontaktování primárního e-mailového serveru
• kontaktování dalších mailserverů
• zjištění software serveru
• zjištění dostupných rozšíření
• greylisting
• přítomnost AAAA záznamů
• přítomnost SPF záznamů
• mailservery jako open relay
• mailservery v DNSBL seznamech

Zjištění SRV záznamů

• zjištění SRV SIP záznamů
• kontrola syntaxe SRV záznamů
• překlad názvů SIP serverů v SRV záznamu na IP adresy
• duplicita SRV záznamů
• kontrola TTL SRV záznamů
• reverzní záznamy názvů SIP serverů
• přítomnost AAAA záznamů pro SIP servery

DNSSEC

• přítomnost DNSKEY záznamu

Poslední změna: 08.03.2010
Změnil: Petr Šťastný

(c) Petr Šťastný 2013, e-mail: