DNSSEC - Что это не покрывает?
В настоящее время я готовлюсь к экзамену по DNS/DNSSEC.
Хотя я знаю, что DNSSEC предоставляет различные улучшения безопасности для DNS, я хотел бы углубиться еще глубже (для своей собственной жажды знаний!) И хотел бы знать, что по-прежнему проблематично с точки зрения безопасности, даже после использования DNSSEC? В конце концов, это не могло решить все программы DNS, связанные с безопасностью, верно?
Спасибо
5 ответов
Основные проблемы, которые DNSSEC не решает:
ложные данные, вставленные на главный сервер - если кто-то взломает ваш оператор DNS, он теоретически может вставить ложные данные, которые будут подписаны вашим собственным ключом.
шифрование DNS-запросов - содержание запросов и полученные ответы по-прежнему открытым текстом на проводе
Первая проблема в настоящее время не решена. Последний не является реальной проблемой безопасности, так как многие люди охотно разрешают сторонним лицам (Google, OpenDNS и т. Д.) Видеть свои DNS-запросы в любом случае.
Это зависит от того, как вы определяете "безопасность". Если мы используем "триаду ЦРУ" - конфиденциальность, целостность и доступность - DNSSEC будет применяться (и был разработан) только ко второму: целостности.
Этот вопрос действительно должен звучать так: "Что делает DNSSEC?"
Чтобы ответить на это, DNSSEC - это способ проверить, что данные, которые вы возвращаете с сервера, являются законными. Записи подписываются закрытым ключом, который затем можно проверить с помощью открытого ключа, опубликованного в наборе записей.
Он не зашифровывает записи, чтобы люди не видели их (весь смысл DNS заключается в том, чтобы распространять эту информацию для общего пользования, так что в любом случае это не проблема).
Он также не защищает от DDoS-атак, отраженных атак, атак с усилением и т. Д.
Вы также можете обратиться к RFC 3833, Анализ угроз системы доменных имен для получения дополнительной информации.
Лучший ответ на это - взглянуть на труды DJB по этому поводу:
http://cr.yp.to/djbdns/forgery.html
У LWN есть и хорошие статьи:
http://lwn.net/Articles/230050/
И некоторые отличные ответы с этого сайта: