Ho letto molti articoli diversi su ciò che DNSSEC è e che fornisce l'autenticazione per il DNS. Quello che sfortunatamente non ho visto è una buona descrizione dei tipi di attacchi e abusi che DNSSEC può prevenire / mitigare.
Con la maggior parte dei DNS dei miei siti personali ospitati dai registrar, quali validi motivi dovrebbero motivarmi a far girare una VM per ospitare i miei BIND e DNSSEC?
Avvelenamento da cache mediante l'implementazione di firme crittografiche per i trasferimenti di zona. Se si desidera crittografare i payload, utilizzare IPSec
Anche con il tuo server dei nomi, potresti estrarre ricorsivamente le voci dns da altrove o eseguire le tue zone mitm, motivo per cui dnssec è presente. In una nota correlata, osservando il modello osi, si potrebbe anche dipendere completamente da ssl certs sul browser per assicurarsi di non essere reindirizzati a un sito di phishing di qualche tipo, come una sorta di garanzia L7 del proprio endpoint. Ma come parte della sicurezza a livelli, vorresti che tutti i protocolli intermedi di supporto siano autoregolamentati, quindi tutti gli addon * sec ai livelli.
what compelling reasons should motivate me to spin up a VM for hosting my own BIND and DNSSEC
I vantaggi per la sicurezza, ovviamente! Se sei preoccupato per attacchi come l'avvelenamento della cache DNS o l'attacco degli uomini nel mezzo (o semplicemente un paranoico come me), allora DNSSEC è per te. Puoi confrontare utilizzando DNSSEC per il tuo DNS per l'utilizzo di HTTPS per il tuo server web. Tuttavia, farò notare che potresti chiedere al registrar di supportare DNSSEC senza che tu debba utilizzare i tuoi server dei nomi (anche se usare i tuoi server dei nomi finché non è disponibile è probabilmente una buona idea).