Esiste un equivalente HSTS per DNSSec?

Naviga le tue risposte
7

C'è un modo per impostare un criterio DNSSec sempre simile al modo in cui i HSTS comanda ai browser Web di utilizzare sempre HTTPS?

Questo attenuerebbe un attacco alla striscia DNSSec (simile a SSLStrip)

Inoltre non sono chiaro se ciò si applicherebbe a IPSec, dove la sicurezza è obbligatoria, ma non è sicuro se ciò richieda DNSSec come prerequisito

    
posta random65537 27.03.2015 - 20:12
fonte

2 risposte

2

No, non esiste un equivalente HSTS diretto per DNSSEC. La maggior parte dei clienti purtroppo non supporta DNSSEC, e quindi non potrebbe importare di meno del record RRSIG del tuo server. Tuttavia, i client che supportano DNSSEC convalideranno sempre i record del server (presupponendo di avere un record DS valido per l'impostazione del dominio con il registrar). Quindi, non c'è bisogno di un equivalente HSTS per DNSSEC, in quanto i client DNSSEC non convalideranno mai i domini.

    
risposta data 12.08.2016 - 03:39
fonte
0

La seguente soluzione potrebbe non adattarsi bene, ma:

  1. Configura BIND o un server resolver DNS simile sull'host che desideri proteggere
  2. Configura per convalidare DNSSEC (può richiedere massimo 10 minuti)
  3. Configura un firewall software in modo che solo il tuo server DNS possa interrogare i server DNS upstream
  4. Opzionalmente usa un addon del browser che può visualizzare lo stato DNSSEC

È possibile modificare la seguente architettura in una soluzione aziendale, in cui si imposta il server DNS sulla rete e sul firewall periferico si bloccano le richieste DNS dagli indirizzi IP che non sono il server DNS. E presume che la tua rete sia affidabile.

    
risposta data 17.08.2015 - 22:31
fonte

Leggi altre domande sui tag

Limitazione del login simultaneo per amministratori di sistema su dominio Windows Windows Firewall Connection Security con certificato