Sicurezza di DNSSEC senza NSEC

4

DNSSEC utilizza i record NSEC (o NSEC3) per indicare che il nome di dominio richiesto non esiste. Il NSEC è stato criticato perché consente l'enumerazione delle zone.

Quali interruzioni, se dnssec è implementato senza record nsec, cioè, cosa succede se non c'è autenticazione di domini inesistenti? (se il dominio esiste, la risposta è autenticata, se il dominio non esiste, la risposta non è autenticata)

Come ho capito, DANE usa NSEC per proteggere contro MITM, ma non capisco esattamente come. L'hacker non eliminerebbe o corromperà le risposte autenticate NSEC?

Potrebbe non esserci modo di sapere se la risposta DNS doveva essere autenticata da DNSSEC o è stata (proposta non implementata) NSEC, successivamente modificata dall'attaccante a una risposta DNS non autenticata che punta a un host controllato da un attaccante.

Sto facendo bene? Ci sono altri problemi?

    
posta yyy 16.11.2016 - 11:15
fonte

1 risposta

4

Se non si autentificano le risposte NXDOMAIN, qualsiasi attacco in cui il vilain può inviare alla vittima una risposta NXDOMAIN prima / al posto della risposta corretta, sarà accettato dal resolver della vittima e quindi l'attaccante è in grado di creare qualsiasi dominio scomparire (secondo la vista della vittima) senza che la vittima sia in grado di rilevare questo attacco. Quindi NSEC, NSEC3 o NSEC5.

L'eliminazione delle risposte NSEC sarebbe stata vista dal resolver, avrebbe ripetuto la query e poi avrebbe lanciato il salvataggio dicendo "errore di rete", quindi se viene rilevato un attacco. Lo stesso per corrompere i record validi NSEC / NSEC3, poiché sono firmati con il record RRSIG allegato, un cambiamento in essi sarebbe rilevato dalla vittima.

E la vittima sa che esiste una zona abilitata DNSSEC vedendo il record DS nella zona madre, necessario per seguire la catena di fiducia.

    
risposta data 08.08.2017 - 17:56
fonte

Leggi altre domande sui tag