DNSSEC - Что это не покрывает?

Question

DNSSEC - Что это не покрывает?

В настоящее время я готовлюсь к экзамену по DNS/DNSSEC.

Хотя я знаю, что DNSSEC предоставляет различные улучшения безопасности для DNS, я хотел бы углубиться еще глубже (для своей собственной жажды знаний!) И хотел бы знать, что по-прежнему проблематично с точки зрения безопасности, даже после использования DNSSEC? В конце концов, это не могло решить все программы DNS, связанные с безопасностью, верно?

Спасибо

0

domain-name-system security dnssec

Источник

KP65 29 апр '10 в 13:46

5 ответов

Решение

Это зависит от того, как вы определяете "безопасность". Если мы используем "триаду ЦРУ" - конфиденциальность, целостность и доступность - DNSSEC будет применяться (и был разработан) только ко второму: целостности.

1

Источник

huguei 29 апр '10 в 14:44

Этот вопрос действительно должен звучать так: "Что делает DNSSEC?"

Чтобы ответить на это, DNSSEC - это способ проверить, что данные, которые вы возвращаете с сервера, являются законными. Записи подписываются закрытым ключом, который затем можно проверить с помощью открытого ключа, опубликованного в наборе записей.

Он не зашифровывает записи, чтобы люди не видели их (весь смысл DNS заключается в том, чтобы распространять эту информацию для общего пользования, так что в любом случае это не проблема).

Он также не защищает от DDoS-атак, отраженных атак, атак с усилением и т. Д.

Вы также можете обратиться к RFC 3833, Анализ угроз системы доменных имен для получения дополнительной информации.

1

Источник

Justin Scott 29 апр '10 в 14:45

Лучший ответ на это - взглянуть на труды DJB по этому поводу:

http://cr.yp.to/djbdns/forgery.html

У LWN есть и хорошие статьи:

http://lwn.net/Articles/230050/

И некоторые отличные ответы с этого сайта:

DNSCurve против DNSSEC

-2

Источник

LapTop006 29 апр '10 в 13:56

Вы можете найти это обсуждение интересным.

-3

Источник

chmeee 29 апр '10 в 14:00

Другие вопросы по тегам domain-name-system security dnssec

Alnitak 29 апр '10 в 14:27 2010-04-29 14:27 · Accepted Answer · 2010-04-29 14:27

Основные проблемы, которые DNSSEC не решает:

ложные данные, вставленные на главный сервер - если кто-то взломает ваш оператор DNS, он теоретически может вставить ложные данные, которые будут подписаны вашим собственным ключом.
шифрование DNS-запросов - содержание запросов и полученные ответы по-прежнему открытым текстом на проводе

Первая проблема в настоящее время не решена. Последний не является реальной проблемой безопасности, так как многие люди охотно разрешают сторонним лицам (Google, OpenDNS и т. Д.) Видеть свои DNS-запросы в любом случае.