DNSSEC Vertrauensanker im pfSense DNS Resolver überprüfen

DNSSEC Vertrauensanker

Die IT-Medien melden schon seit einiger Zeit, dass die ICANN den Vertrauensanker der Root-DNS-Server am 11.10.2018 tauschen wird. DNS-Abfragen sind in der Regel nicht verschlüsselt. Durch DNSSEC können aber wenigstens die Antworten der Root-DNS-Server signiert werden. Damit ist die Echtheit der Antworten sicher gestellt. Wer pfSense einsetzt hat standardmäßig den DNS-Resolver aktiv. Unter pfSense wird die Software Unbound als DNS-Resolver eingesetzt. Sollten die Vertrauensanker in Unbound nicht mehr aktuell sein, kann bei aktiviertem DNSSEC keine DNS-Auflösung mehr erfolgen. Hier möchte ich ganz kurz darauf eingehen, wie man den DNSSEC Vertrauensanker im pfSense DNS Resolver überprüfen kann.

DNSSEC Vertrauensanker im pfSense DNS Resolver überprüfen

Zuerst auf der pfSense Web-GUI anmelden. Anschließend das Menü „Diagnostics > Command Prompt“ aufrufen. Hier kann man sich mit einem einfachen Befehl die aktuell verwendeten Vertrauensanker anzeigen lassen. Dazu einfach den Befehl unter „Execute Shell Command“ eingeben und mit einem Klick auf „Execute“ ausführen lassen. Anschließend sieht man in der Antwort den Inhalt der root.key Datei.

cat /var/unbound/root.key

In der Antwort sollte man die beiden Vertrauensanker mit den ID’s 19036 und 20326 und dem Status 2 [VALID] erhalten.

{id = 20326 (ksk), size = 2048b} ;;state=2 [ VALID ]
{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ]

DNS-Vertrauensanker in pfSense Unbound aktualisieren

Die beiden Keys sollten auf einer dauerhaft laufenden pfSense aktuell sein. Es kann aber in Einzelfällen dazu kommen, dass sie noch nicht aktuell sind. Dann muss man über SSH oder die Konsole auf pfSense zugreifen, die root.key Datei entfernen und den Befehl zum Update absetzen.

mv /var/unbound/root.key /var/unbound/root.old
unbound-anchor

Anschließend noch über die Web-GUI den DNS-Resolver neu starten. Nun sollten die Vertrauensanker beide vorhanden sein und einer weiter funktionierenden DNS-Auflösung auch nach dem 11.10.2018 nichts mehr im Weg stehen.