È possibile forzare il PC o il dispositivo a utilizzare solo i risultati della ricerca verificata da DNSSec?

Naviga le tue risposte
1

Ok, ammetterò una cosa prima di tutto: non capisco davvero alcuni degli aspetti pratici di come le protezioni DNSSec funzionano molto bene. (Anche dopo aver letto risorse come this .)

Bene, ho sicuramente capito perché anti- spoofing protezioni per Le ricerche di risoluzione DNS da nome a indirizzo sono molto necessario . E capisco persino (all'incirca, a livello base) come i meccanismi della catena di trust crittografica funzionano , dalla radice del DNS server e domini di primo livello fino all'ISP di livello inferiore e ai server dei nomi interni / aziendali per fornire una base per il ruolo DNSSec di crittografia attestante che un determinato nome di dominio è realmente collegato a uno o più indirizzi IP specificati.

Ma la mia comprensione diventa confusa al punto in cui il dispositivo di un utente finale sfrutta effettivamente le capacità del sistema DNSSec per verificare che il server DNS con cui sta trattando il client stia dicendo la verità quando dice che un certo nome di dominio è legittimo supposto per risolvere a un determinato indirizzo IP. Questo, ad es., www.example.com è voluto dalle persone che lo possiedono per fare riferimento a 93.184.216.34, e che 93.184.216.34 non è solo un server sostitutivo malevolo e malizioso che dice, ad esempio, che il mio browser va a pagina web controllata dagli aggressori invece di quella originale.

Ad ogni modo, la mia vera domanda qui non è del tutto "Non capisco perfettamente come DNSSec funzioni a livello di client / server DNS. Per favore, spiegamelo." Ho una preoccupazione più pragmatica: Si può effettivamente configurare un PC o un dispositivo client dell'utente finale per costringerlo ad accettare & utilizza solo risultati di ricerca DNS che sono stati verificati crittograficamente con DNSSec ? Configurare un PC per utilizzare determinati server DNS specifici è abbastanza facile, ovviamente; come si configura un PC per utilizzare solo i risultati di ricerca DNS che sono verificati come legittimi dall'infrastruttura DNSSec? O può anche essere fatto? c'è qualcosa che mi manca su come DNSSec funziona a livello di client / server DNS che significa che tutta la mia domanda è fuori base? Oppure sta succedendo qualcos'altro?

(Nota: suppongo che mi stia chiedendo l'immagine di un tipico ambiente client Windows nella mia testa, ma in realtà intendo chiedere in un contesto più generale di "C'è qualche tipo di verifica / controllo in DNSSec che effettivamente si verifica a livello di client, o DNSSec è qualcosa di puramente esterno in cui ci si aspetta che un cliente "si fida solo" dell'output finale di alcuni server DNS? "E quest'ultimo sembra molto simile ad alcuni degli stessi problemi che rendono problematico il sistema DNS legacy.)

    
posta mostlyinformed 28.11.2015 - 03:58
fonte

2 risposte

2

Can one actually configure an end-user client PC or device to force it to accept & use only DNS lookup results that are cryptographically-verified under DNSSec?

Non penso sia possibile farlo direttamente. Quello che potresti fare è impostare un server DNS che cancelli qualsiasi risposta che non sia firmata con DNSSec. Quindi è possibile impostare la rete locale in modo che utilizzi questo server DNS. Questo server DNS potrebbe anche essere eseguito sullo stesso host. Non sono a conoscenza di alcun server esistente che può essere configurato per farlo. Ma non dovrebbe essere troppo difficile scrivere un server di questo tipo per uso personale (non c'è bisogno di scalare molto).

Tuttavia, dal momento che la maggior parte dei server su Internet non utilizzano DNSSec, tuttavia, in questo modo, la maggior parte di Internet si taglierà in modo efficace. Bello per un esperimento, ma di solito non è utile nella pratica.

or is DNSSec some purely external thing were a client is expected to "just trust" the end-output of some DNS server?"

DNSSec di solito non è realmente integrato nei sistemi. Ciò significa che le applicazioni sugli attuali sistemi Windows, Mac o Linux di solito non sono a conoscenza se l'indirizzo che hanno ricevuto per un host è stato recuperato utilizzando DNSSec o DNS non protetto. Anche se il risolutore del sistema lo sapesse, le API correnti nelle librerie e nei linguaggi di programmazione non espongono maggiormente queste informazioni all'applicazione, oppure non è chiaro quanto queste informazioni dall'API possano essere considerate affidabili. Per alcune letture interessanti sulla complessità del problema vedi Supporto per DNSSEC nella libreria GNU C .

    
risposta data 28.11.2015 - 08:10
fonte
0

Can one actually configure an end-user client PC or device to force it to accept & use only DNS lookup results that are cryptographically-verified under DNSSec?

Sì, puoi! Esistono due modi per farlo:

Livello applicazione

L'applicazione può convalidare le query DNS che esegue. Un esempio di questo è l'estensione DNSSEC Validator per Chrome / Firefox. Tuttavia, questo funziona solo se l'applicazione (o un addon) lo supporta.

Sistema / Livello di rete

Gli utenti e gli amministratori di rete possono configurare i propri sistemi per convalidare DNSSEC e quindi avere la convalida per tutte le query, indipendentemente dall'origine. L'attuale modo più semplice per implementare questo è impostare un semplice resolver recurseive e proxy tutto il traffico DNS attraverso di esso. Si spera che in futuro gli sviluppatori dei sistemi operativi aggiungeranno il supporto DNSSEC ai sistemi operativi stessi, quindi non è necessario.

    
risposta data 12.08.2016 - 04:42
fonte

Leggi altre domande sui tag

Qual è lo scopo di un uomo nel certificato medio? VPN tramite domanda VPN [duplicato]