L'enumerazione del dominio NSEC può verificarsi per zone con record con caratteri jolly?

6

In DNSSEC, i record NSEC vengono utilizzati per fornire prove di inesistenza. Il problema è che questi record forniscono indicazioni su nomi di domini esistenti (il dominio più vicino conosciuto in entrambe le direzioni) che costruiscono una catena che può essere "calpestata" per rivelare tutti i nomi di dominio in una data zona attraverso ulteriori query non riuscite.

Il metodo come ho capito si basa sulla creazione di query per domini che non hanno un record corrispondente. Le zone con record DNS con caratteri jolly sono ancora suscettibili a questo attacco?

    
posta chao-mu 03.07.2012 - 15:47
fonte

2 risposte

3

Devono comunque essere vulnerabili, poiché il record con caratteri jolly è firmato letteralmente come "*". I dettagli di come vengono gestiti i risultati dei caratteri jolly sono trattati in RFC 2535 (DNSSEC), RFC 3845 (formato RDATA NSEC) e RFC 5155 (risposte hash NSEC3).

Questa semplice descrizione mi è stata utile per capire come una risposta con caratteri jolly può essere dimostrata: " Il server dei nomi ricevente può derivare da ciò che il record "www.esempio.com" è stato sintetizzato da "* .esempio.com" e controllare la firma di conseguenza. "

È possibile che alcuni strumenti e script progettati per condurre la camminata con NSEC falliscano nel caso di risposte con caratteri jolly, ma ciò non proverebbe che l'attacco non è ancora possibile.

    
risposta data 26.10.2012 - 20:26
fonte
0

Se sei preoccupato per gli attaccanti che camminano nella tua zona, dovresti configurarlo per usare NSEC3 invece di NSEC per la negazione. Questo funziona con i record con caratteri jolly, che non hanno alcun rapporto con la zona in entrambi i casi.

NSEC3 utilizza gli hash dei nomi per far valere l'inesistenza di un record. Un utente malintenzionato non ha modo di ottenere i nomi originali dagli hash, quindi non riceve suggerimenti che puntano ai nomi vicini nella zona.

Come nel caso di NSEC, un utente malintenzionato può ancora dire che la risposta è dovuta alla presenza di un record con caratteri jolly. Tuttavia, la zona a piedi è possibile con NSEC (e impossibile con NSEC3) indipendentemente dal fatto che la zona includa i record con caratteri jolly.

NSEC3 è supportato da Windows DNS in Server 2012 (e versioni successive) e BIND 9+. Le versioni precedenti supportavano solo DNSSEC con NSEC.

    
risposta data 17.12.2018 - 21:34
fonte

Leggi altre domande sui tag